[Explained] Jak přidat uživatele do Sudoers v Ubuntu

autor:
Tweet
Share
Share
Pin

Než se pustíme do procesu přidávání uživatelů s oprávněními sudo v Ubuntu, je zásadní pochopit, proč bychom se do takové situace mohli dostat. Typicky se to stává, když potřebujete spravovat systémové služby nebo instalovat a aktualizovat software na Ubuntu. Možná jste se již setkali s hláškou „Přístup odepřen“ při pokusu o provedení některých z těchto akcí.

V takových případech byste měli být v pokušení spustit příkazy jako uživatel root nebo superuživatel. Nicméně, z bezpečnostních důvodů se toto nedoporučuje. Spouštění příkazů jako root může způsobit problémy, pokud dojde k nechtěné úpravě systémových nastavení.

Ubuntu, oblíbená distribuce Linuxu, nabízí funkci zvanou sudo, která umožňuje uživatelům provádět příkazy s vyššími oprávněními, aniž by se museli přihlašovat jako root.

Tento článek vám objasní, kdo jsou sudoeři, proč byste je mohli potřebovat a jak je přidat do vašeho systému Ubuntu.

Co přesně znamená Sudo/Sudoers?

Možná se ptáte, proč nepoužít příkaz „su“ neboli switch user? Příkaz „su“ vás přihlásí přímo jako uživatele root. Po zadání hesla root uživatele můžete v systému provádět libovolné změny. Mohlo by se však stát, že zapomenete se odhlásit jako root a nechtěně smažete důležité soubory nebo celý disk.

Sudo je zkratka pro „superuser do“. Sudoeři jsou uživatelé s rozšířenými právy, kteří mohou instalovat a aktualizovat software, nebo měnit systémová nastavení. Uživatel s těmito právy musí vždy před spuštěním příkazu v Ubuntu uvést klíčové slovo ‚sudo‘. Po provedení příkazu se však nemusí odhlašovat.

Pokud máte v Ubuntu více uživatelů, ne všichni budou mít práva sudo. Během instalace je však první uživatel vytvořen s výchozími právy sudo. Příkazy sudo mohou spouštět pouze uživatelé uvedení v souboru nebo skupině sudoers.

  • Soubor sudoers: Konfigurační soubor definující, kteří uživatelé mohou používat sudo a s jakými pravidly.
  • Skupina sudoers: Speciální skupina uživatelů, kteří mají práva sudo.

Situace, kdy je nutné poskytnout uživatelům přístup sudo

Určitým uživatelům můžete povolit spouštění příkazů sudo na svém osobním nebo firemním počítači. Může to být užitečné, pokud:

  • Máte tým administrátorů nebo vývojářů, kteří potřebují provádět úkoly vyžadující přístup root, jako je instalace softwaru nebo aktualizace systému.
  • Chcete omezit přístup uživatelů k určitým souborům nebo adresářům a nechcete jim poskytovat plný přístup k systému.
  • Máte hosta, který potřebuje jednorázový přístup root, například pro instalaci a konfiguraci specializovaného softwaru.

Proč je důležité udělovat uživatelům práva sudo?

  • Zlepšení zabezpečení: Nemusíte uživatelům dávat možnost přihlašovat se do systému jako uživatel root, čímž snižujete riziko chyb a bezpečnostních hrozeb. Uživatelé s právy sudo mají přístup pouze k tomu, co skutečně potřebují.
  • Přizpůsobení oprávnění: Můžete nastavit, jaké příkazy mohou sudoeři spouštět a za jakých podmínek, včetně vyžadování hesla.
  • Snadnější sledování uživatelů: V log souboru /var/log/auth.log můžete snadno kontrolovat všechny příkazy, které sudoeři spouští.

Předpoklady pro přidání uživatele do souboru sudoers

  • Uživatelský účet s právy sudo: K úpravě seznamu sudoers je nutné přihlásit se k účtu s administrátorskými právy.
  • Uživatelské jméno: Musíte znát jméno uživatele, kterému chcete přidělit práva sudo.
  • Textový editor: Ubuntu používá Nano jako výchozí editor, ale můžete použít jiný.

Jak přidat uživatele do souboru sudoers?

Existuje několik způsobů, jak přidat uživatele do souboru sudoers. Nejdříve si však musíme vytvořit nového uživatele.

Vytvoříme uživatele s názvem „titus“. Můžete postupovat podle následujících kroků:

  • Přihlaste se k uživatelskému účtu s právy sudo a spusťte příkaz: sudo adduser titus (místo „titus“ můžete použít jméno nového uživatele).
  • Zadejte heslo nového uživatele, a potvrďte ho

  • Postupujte podle pokynů (můžete ponechat výchozí nastavení) a stisknutím ‚Y‘ potvrďte všechny detaily.

Nyní máme nového uživatele.

Existují dva přístupy k udělení práv sudo v Ubuntu:

#1: Přidání uživatele do skupiny sudo

Nyní můžeme přidat nového uživatele do skupiny sudo. Spusťte následující příkaz jako uživatel root nebo jiný sudoer:

sudo usermod -aG sudo username

Nahraďte „uživatelské jméno“ jménem uživatele, kterému chcete udělit práva sudo. V našem případě to bude:

sudo usermod -aG sudo titus

Nový uživatel byl úspěšně přidán do skupiny sudo.

#2: Přidání uživatele do souboru Sudoers

Jak už víme, v Ubuntu má každý uživatel odlišná oprávnění k souborům a adresářům. Uživatel může mít práva pouze pro čtení, zápis nebo spouštění souborů.

V souboru sudoers definujeme, kteří uživatelé mají právo používat sudo a jak. Soubor sudoers se nachází v cestě /etc/sudoers.

Postup pro úpravu souboru sudoers:

  • Otevřete terminál.
  • Pro otevření souboru použijte příkaz:
sudo visudo

Budete vyzváni k zadání hesla.

  • Upravte soubor. Po spuštění příkazu se vám zobrazí něco podobného:

Představte si, že máme uživatele s názvem „kamunya“, kterému chceme udělit všechna práva sudo.

Najděte sekci, která vypadá takto:

# User privilege specification
root    ALL=(ALL:ALL) ALL

Nyní můžeme přidat řádek, který uživateli „kamunya“ udělí všechna práva sudo:

kamunya   ALL=(ALL:ALL) ALL
  • Uložte a ukončete soubor. Můžete použít zkratky: Ctrl+O pro uložení a Ctrl+X pro ukončení.

Nyní máte nového sudo uživatele přidaného prostřednictvím souboru sudoers. Pokud bychom chtěli uživateli „kamunya“ přidělit specifická práva, například aktualizovat software bez hesla, přidali bychom řádek:

kamunya ALL=(ALL:ALL) NOPASSWD: /usr/bin/apt-get update, /usr/bin/apt-get upgrade

Jak ověřit, zda má uživatel práva sudo?

Možná jste provedli všechny tyto kroky, ale stále si nejste jistí, zda uživatelé mají práva sudo. Ke kontrole můžete použít následující postupy:

Použití příkazu sudo

Zkontrolujeme, zda uživatel „titus“ má práva sudo. Příkaz bude:

sudo -l -U titus

Místo „titus“ použijte jméno uživatele, které chcete ověřit.

Pokud je uživatel sudoer, zobrazí se něco podobného:

Pokud uživatel nemá práva sudo, zobrazí se vám chyba: „Uživatel ‚uživatelské jméno‘ nemá povoleno spouštět sudo na ‚název vašeho počítače'“.

Kontrola skupin sudo

Když vytvoříte uživatele sudo, systém automaticky přidá tohoto uživatele do skupiny s jeho uživatelským jménem. Například, máme sudo uživatele „tk“. Pomocí následujícího příkazu můžeme ověřit, zda tento uživatel patří do skupiny:

groups tk

Místo ‚tk‘ použijte jméno uživatele.

Zobrazí se vám výstup podobný tomuto:

Jak smazat sudo uživatele?

Někdy je nutné sudo uživatele odstranit. Například po dokončení jednorázové úlohy, nebo po změnách v uživatelských profilech.

Pro odstranění uživatele můžete použít grafické rozhraní nebo příkazový řádek. Odstranění pomocí příkazového řádku:

  • Spusťte příkaz sudo deluser username, kde „username“ nahradíte jménem uživatelského profilu, který chcete smazat. Tímto krokem uživatele odstraníte, ale jeho soubory zůstanou.

Odstranili jsme uživatele „kamunya“.

Pro odstranění uživatele i s jeho soubory spusťte příkaz:

sudo deluser --remove-home username

V našem případě to bude:

sudo deluser --remove-home kamunya

Doporučení pro správu uživatelů v souboru sudoers

  • Používejte příkaz visudo: Pokud se rozhodnete upravovat soubor sudoers přímo, vždy používejte příkaz visudo. Po dokončení úprav zkontrolujte překlepy, uložte a zavřete editor.
  • Využívejte skupiny: Místo přidávání jednotlivých uživatelů do sudoers, můžete je přidávat do skupin. Můžete tak mít různé skupiny s různými oprávněními, například „administrátoři“ nebo „vývojáři“.
  • Dokumentujte přístup: Zaznamenávejte si, komu jste udělili práva sudo a co může daný uživatel dělat. Usnadní to případné změny a výběr nových zaměstnanců.
  • Sledujte přístup: Pravidelně kontrolujte, kteří uživatelé se přihlašují do systému a případně odstraňte uživatele, kteří již přístup nepotřebují.

Závěr

Ubuntu je často používaný operační systém pro administrátory a programátory. Je nutné zajistit, abyste správným uživatelům udělili správná oprávnění.

Nyní již víte, kdo jsou sudoeři a jak je přidat do systému Ubuntu. Díky tomu se uživatelé nemusí přihlašovat s plnými administrátorskými právy, ale pouze s oprávněními, která potřebují k vykonání své práce.

Dále se můžete podívat i na některé další příkazy, které byste jako správce systému měli znát.