새 사용자를 생성했지만 adduser
그의 계정에서 sudo를 시도하면 xxxx * is not in the sudoers file. This incident will be reported.
.
visudo
그래서 명령어를 조작하기 시작했는데 ...
루트 계정에 다음 구성이 있음을 발견했습니다.
root ALL=(ALL:ALL) ALL
하지만 새로운 사용자들에게 이 말을 반복하고 싶지는 않습니다...
sudo를 사용하지 않는 한 내 사용자 xxxx가 루트 액세스 권한을 갖지 못하도록 하고 싶습니다..
sudo를 사용할 때 사용자 xxxx에게 자신의 비밀번호가 아닌 루트 비밀번호를 묻는 메시지가 표시되기를 원합니다!
감사해요
Debian 10
VM 사용, SSH만 사용
답변1
sudo를 사용하지 않는 한 내 사용자 xxxx가 루트 액세스 권한을 갖지 못하도록 하고 싶습니다.
sudo
이는 실제로 일반 사용자의 정상적인 상태입니다. 허용되는 명령을 지정하기 위해 구성을 제외하고는 아무것도 수행할 필요가 없습니다.
root ALL=(ALL:ALL) ALL
sudo
이 줄은 루트 사용자로 전환한 경우에만 사용할 수 있도록 하기 위해 존재합니다. 루트가 아닌 사용자에게 권한을 부여하는 중요한 줄은 다음 줄입니다.
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
(일부 Linux 배포판에서는 운영 체제 설치 중에 생성된 첫 번째 일반 사용자가 이 그룹의 구성원이 되어 sudo
자동으로 루트 액세스를 활성화할 수 있습니다. 이는 예외이며 모든 사용자에 대한 기본값은 아닙니다.)
sudoers 파일의 권한 사양의 기본 형식은 다음과 같습니다.
<who> <where>=(<as_who>) <what>
<who>
이 항목을 사용할 수 있는 사용자를 지정합니다. 이는 사용자, 그룹(% 기호가 앞에 붙음) 또는 이전에 정의된 User_Alias(기본적으로 사용자 및/또는 그룹의 긴 목록에 대한 약칭) 및 기타 몇 가지 사항일 수 있습니다.<where>
호스트 이름일 수 있습니다. 특정 시스템으로 제한됩니다. 이는 중앙에서 관리되는 표준 파일을 모든 호스트에 배치하는 기업 환경에서 유용할 수 있지만sudoers
일반적으로 호스트 이름 확인이 작동하지 않거나 시스템이 잘못 구성된 경우 문제를 피하기 위해 ALL로 지정됩니다.(<as_who>)
명령을 실행할 수 있는 사용자 계정을 정의합니다. 기본값은 루트이지만 루트가 아닌 특정 애플리케이션 계정에서만 sudo를 사용하여 명령을 실행하는 등 사용자를 제한할 수도 있습니다.<what>
허용되는 명령(또는 쉼표로 구분된 명령)입니다.
다양한 탭과 옵션이 있지만 sudoers
간단히 말해서 위의 내용이 파일에서 중요한 부분입니다.
sudo를 사용할 때 사용자 xxxx에게 자신의 비밀번호가 아닌 루트 비밀번호를 묻는 메시지를 표시하고 싶습니다.
가능하고 쉽습니다. 파일에 다음 줄을 추가하는 경우 sudoers
:
Defaults:xxxx rootpw,timestamp_timeout=0
xxxx ALL=(ALL:ALL) ALL
그런 다음 사용자를 위해 xxxx
(그리고오직해당 경우) sudo
명령은 루트 비밀번호를 묻습니다.매번비밀번호를 다시 묻지 않고 명령을 사용하는 데 최대 15분을 허용하는 기본 동작 sudo
대신 이 명령을 사용하십시오 .sudo
사용자를 모니터링하고 사용자가 루트 비밀번호를 요청할 경우 직접 루트 비밀번호를 입력하려는 경우 이는 중요합니다. 이 옵션을 놓치면 timestamp_timeout=0
사용자는 먼저 합법적인 작업에 대해 루트 비밀번호를 묻고 계속하기 전에 간섭을 할 수 있습니다. . 앞으로 15분 동안 귀하를 도와드릴 수 있으며, 그 동안 sudo
원하는 것은 무엇이든 사용할 수 있습니다 .
하지만 참고하세요사용자에게 루트 비밀번호를 알려주면 su
다음 명령과 함께 사용할 수도 있습니다., 기본이 아닌 제한사항을 적용하지 않는 한 su
. 제한하는 전통적인(그리고 종종 유일한) 방법은 사용자가 특정 그룹의 구성원이 되도록 요구하는 것입니다. 그렇지 않으면 사용자를 su
전혀 사용할 수 없습니다. su
이 제한 사항을 적용하려면 /etc/pam.d/su
시작 부분에서 이 섹션을 편집하고 찾으세요.
# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
#
마지막 줄의 시작 부분에서 제거하면 su
해당 그룹의 구성원만 명령을 사용할 수 있습니다 root
.