8 Cara untuk Tweak dan Konfigurasi Sudo di Ubuntu
Seperti kebanyakan hal di Linux, perintah sudo sangat dapat dikonfigurasi. Anda dapat membuat sudo menjalankan perintah tertentu tanpa meminta kata sandi, membatasi pengguna tertentu hanya pada perintah yang disetujui, perintah log dijalankan dengan sudo, dan lainnya.
Perilaku perintah sudo dikendalikan oleh file / etc / sudoers pada sistem Anda. Perintah ini harus diedit dengan perintah visudo, yang melakukan pemeriksaan sintaksis untuk memastikan Anda tidak secara tidak sengaja memecahkan file.
Tentukan Pengguna dengan Izin Sudo
Akun pengguna yang Anda buat saat menginstal Ubuntu ditandai sebagai akun Administrator, yang berarti dapat menggunakan sudo. Akun pengguna tambahan apa pun yang Anda buat setelah instalasi dapat berupa akun Administrator atau Pengguna standar - Akun pengguna standar tidak memiliki izin sudo.
Anda dapat mengontrol jenis akun pengguna secara grafis dari alat Akun Pengguna Ubuntu. Untuk membukanya, klik nama pengguna Anda di panel dan pilih Akun Pengguna atau cari Akun Pengguna di tanda hubung.
Buat Sudo Lupakan Kata Sandi Anda
Secara default, sudo mengingat kata sandi Anda selama 15 menit setelah Anda mengetiknya. Inilah sebabnya mengapa Anda hanya perlu mengetikkan kata sandi sekali ketika menjalankan banyak perintah dengan sudo secara berurutan. Jika Anda akan membiarkan orang lain menggunakan komputer Anda dan Anda ingin sudo meminta kata sandi saat dijalankan berikutnya, jalankan perintah berikut dan sudo akan melupakan kata sandi Anda:
sudo -k
Selalu Minta Kata Sandi
Jika Anda lebih suka diminta setiap kali Anda menggunakan sudo - misalnya, jika orang lain secara teratur memiliki akses ke komputer Anda - Anda dapat menonaktifkan perilaku mengingat kata sandi sepenuhnya.
Pengaturan ini, seperti pengaturan sudo lainnya, terkandung dalam file / etc / sudoers. Jalankan perintah visudo di terminal untuk membuka file untuk diedit:
sudo visudo
Terlepas dari namanya, perintah ini default ke editor nano ramah pengguna baru dan bukan editor vi tradisional di Ubuntu.
Tambahkan baris berikut di bawah baris Default lain dalam file:
Timestamp_timeout default = 0
Tekan Ctrl + O untuk menyimpan file, lalu tekan Ctrl + X untuk menutup Nano. Sudo sekarang akan selalu meminta Anda untuk kata sandi.
Ubah Batas Waktu Kata Sandi
Untuk mengatur batas waktu kata sandi yang berbeda - baik yang lebih lama seperti 30 menit atau yang lebih pendek seperti 5 menit - ikuti langkah-langkah di atas tetapi gunakan nilai yang berbeda untuk timestamp_timeout. Angka yang sesuai dengan jumlah menit sudo akan mengingat kata sandi Anda. Agar sudo mengingat kata sandi Anda selama 5 menit, tambahkan baris berikut:
Timestamp_timeout default = 5
Jangan Pernah Meminta Kata Sandi
Anda juga dapat memiliki sudo tidak pernah meminta kata sandi - selama Anda masuk, setiap perintah yang Anda awali dengan sudo akan berjalan dengan izin root. Untuk melakukan ini, tambahkan baris berikut ke file sudoers Anda, di mana nama pengguna adalah nama pengguna Anda:
username ALL = (ALL) NOPASSWD: ALL
Anda juga dapat mengubah baris% sudo - yaitu, baris yang memungkinkan semua pengguna dalam grup sudo (juga dikenal sebagai pengguna Administrator) menggunakan sudo - agar semua pengguna Administrator tidak memerlukan kata sandi:
% sudo ALL = (ALL: ALL) NOPASSWD: ALL
Jalankan Perintah Tertentu Tanpa Kata Sandi
Anda juga dapat menentukan perintah khusus yang tidak akan pernah memerlukan kata sandi saat dijalankan dengan sudo. Alih-alih menggunakan "ALL" setelah NOPASSWD di atas, tentukan lokasi perintah. Misalnya, baris berikut akan memungkinkan akun pengguna Anda untuk menjalankan perintah apt-get dan shutdown tanpa kata sandi.
username ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Ini bisa sangat berguna saat menjalankan perintah tertentu dengan sudo dalam skrip.
Izinkan Pengguna Menjalankan Hanya Perintah Tertentu
Meskipun Anda dapat memasukkan perintah khusus ke daftar hitam dan mencegah pengguna menjalankannya dengan sudo, ini tidak terlalu efektif. Misalnya, Anda bisa menentukan bahwa akun pengguna tidak dapat menjalankan perintah shutdown dengan sudo. Tetapi akun pengguna itu dapat menjalankan perintah cp dengan sudo, membuat salinan perintah shutdown, dan mematikan sistem menggunakan salinan.
Cara yang lebih efektif adalah dengan memasukkan perintah khusus ke daftar putih. Misalnya, Anda bisa memberikan izin akun pengguna Standar untuk menggunakan perintah apt-get dan shutdown, tetapi tidak lebih. Untuk melakukannya, tambahkan baris berikut, di mana pengguna standar adalah nama pengguna pengguna:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Perintah berikut ini akan memberi tahu kami perintah apa yang dapat dijalankan pengguna dengan sudo:
sudo -U pengguna standar -l
Masuk Akses Sudo
Anda dapat mencatat semua akses sudo dengan menambahkan baris berikut. / var / log / sudo hanyalah sebuah contoh; Anda dapat menggunakan lokasi file log apa pun yang Anda suka.
File log default = / var / log / sudo
Lihat konten file log dengan perintah seperti ini:
sudo cat / var / log / sudo
Ingatlah bahwa, jika pengguna memiliki akses sudo yang tidak dibatasi, pengguna itu memiliki kemampuan untuk menghapus atau mengubah konten file ini. Seorang pengguna juga dapat mengakses prompt root dengan sudo dan menjalankan perintah yang tidak akan dicatat. Fitur logging paling berguna ketika digabungkan dengan akun pengguna yang memiliki akses terbatas ke subset dari perintah sistem.