Федеральное государственное бюджетное
жүктеу/скачать 453.59 Kb. Pdf көрінісі
|
|
Команда sudo Команда sudo выполняет указанную в качестве параметра команду от имени другого пользователя, в зависимости от настроек. При отсутствии команды от имени другого пользователя, выполняется редактор (-e), или командная оболочка (-s), или имитируется начальный вход в систему (-i). Устанавливается требуемый реальный идентификатор пользователя и груп- пы, euid, egid и список групп. Может запрашиваться пароль текущего поль- зователя. Ключи: • -H (установить HOME как описано в /etc/passwd для целевого поль- зователя); • -L (показать список возможных параметров с описанием); • -P (не устанавливать список групп); • -S (читать пароль с stdin вместо tty); • -V (показать версию sudo; для root выдаются также параметры уста- новки); • -k (обнулить допустимое время использования sudo без повторного введения пароля); • -K (аналогично, но более действенным способом); • -b (выполнить команду в фоновом режиме); 8 • -e имя-файла (редактировать указанный файл, в настройках должно быть разрешено выполнять команду sudoedit); • -h (вывести описание команды); • -i (имитируется начальный вход в систему); • -l (показать список разрешенных команд); • -p формат (задаёт текст приглашения при вводе пароля); • -s (запустить командную оболочку); • -u имя-пользователя (с правами какого пользователя исполнить ко- манду; по умолчанию - root); • -u #uid; • -v (продлевает допустимое время использования sudo без повторного введения пароля на очередные 5 минут); • -- (не интерпретировать остальные параметры). По умолчанию простая аккредитация пользователя означает, что при попытке исполнить команду от имени другого, ему будет предложено ввести свой пароль - свой собственный, обратите внимание, - а не пароль того, от чьего имени он собирается действовать. Вдобавок, "эффект памяти" после первого ввода пароля составляет (по тому же умолчанию) всего пять минут. И если команду sudo вновь отдать по истечении этого срока, она снова за- требует пароль. Однако изменением настроек в файле /etc/sudoers можно преодолеть эти ограничения, уместные для больших многопользовательских систем, но никак не для домашних компьютеров. Кстати, если sudo попытается воспользоваться неаккредитованный пользователь, сообщение об этом в виде электронного письма незамедли- тельно отправится на локальный адрес root, и, если даже машина не подклю- чена к Интернету, суперпользователь получит это письмо. Кроме того, за- пись о нарушителе появится в системном журнале. Чтобы определить, какими полномочиями наделён тот или иной поль- зователь для исполнения команды sudo, достаточно от его имени сделать запрос sudo -l 9 Изначально только root имеет право вершить при помощи sudo всё, что угодно, - но суперпользователю эта утилита ни к чему, он и так способен на всё. Владельцам же прочих учётных записей на данном компьютере следует позаботиться о своей аккредитации. Заведение в /etc/sudoers новых правил следует производить - ВНИМАНИЕ ! - не при помощи привычного вам редак- тора, а посредством особой утилиты visudo. Её аналоги, кстати, имеются и для редактирования файлов паролей /etc/passwd и групп /etc/group - vipw и vigr, соответственно. Главная их особенность - в том, что перед запуском самого редактора они блокируют (lock) редактируемый файл так, что ни один другой пользователь не сможет в то же самое время его править. Vi ведь оперирует не с самим файлом, а с его копией в памяти, как мы помним, и до самого момента явной записи информации на диск в исходный файл не вносятся изменения. Значит, возможна ситуация, когда один и тот же файл открывают на редактирование два пользователя (в случае /etc/sudo, напри- мер, им обоим должен быть известен пароль root). Тогда, в итоге, файл оста- нется таким, каким сохранит его на диск последний из завершивших работу пользователей. Если же файл блокирован, открыть его кому-то ещё в то же самое время будет непросто. Утилита sudo - мощный и гибкий инструмент, и с его помощью сис- темный администратор может существенно облегчить свою жизнь. Скажем, можно аккредитовать в /etc/sudoers своего заместителя для выполнения не- которых рутинных обязанностей и не терзаться мыслью о том, что пароль root'а знает кто-то ещё: теперь это ни к чему. Однако вряд ли для домашнего компьютера потребуется вся потаённая мощь sudo - всё-таки уровень подоз- рительности к окружающим, если это члены семьи, даже у самого паранои- дального сисадмина должен быть понижен. Так что наиболее распростра- нённая опция в sudo "для дома, для семьи" - это разрешение на запуск той или иной полезной утилиты от имени непривилегированного пользователя без дополнительного введения пароля. Аккредитация в этом случае выглядит чрезвычайно просто (если вас интересуют более глубокие подробности, к вашим услугам - man sudo и man 5 sudoers). Запустите команду visudo, и в самой последней строке открывшегося файла допишите строчку: [имя пользователя] localhost.localdomail = NOPASSWD: [полный путь исполнения]. 10 Все множество средств обеспечения безопасности можно разделить на следующие группы или категории: ¾ Средства управления доступом к системе (доступ с консоли, доступ по сети) и разграничения доступа. ¾ Обеспечение контроля целостности и неизменности программного обеспечения (сюда же я отношу средства антивирусной защиты, поскольку внедрение вируса есть изменение ПО). ¾ Средства криптографической защиты. ¾ Средства защиты от вторжения извне (внешнего воздействия). ¾ Средства протоколирования действий пользователей, которые тоже служат обеспечению безопасности (хотя и не только). ¾ Средства обнаружения вторжений. ¾ Средства контроля состояния безопасности системы (обнаружения уязвимостей). Как перезагрузить компьютер, находясь за пару тысяч километров от него или выполнить другие действия удаленно и безопасно? Ответ на эти вопросы - протокол SSH. жүктеу/скачать 453.59 Kb. Достарыңызбен бөлісу:
|