sudo가 현재 사용자 대신 루트 비밀번호를 묻는 Linux 사용자를 만드는 방법

sudo가 현재 사용자 대신 루트 비밀번호를 묻는 Linux 사용자를 만드는 방법

새 사용자를 생성했지만 adduser그의 계정에서 sudo를 시도하면 xxxx * is not in the sudoers file. This incident will be reported..

visudo그래서 명령어를 조작하기 시작했는데 ...

루트 계정에 다음 구성이 있음을 발견했습니다.

root    ALL=(ALL:ALL) ALL

하지만 새로운 사용자들에게 이 말을 반복하고 싶지는 않습니다...


sudo를 사용하지 않는 한 내 사용자 xxxx가 루트 액세스 권한을 갖지 못하도록 하고 싶습니다..
sudo를 사용할 때 사용자 xxxx에게 자신의 비밀번호가 아닌 루트 비밀번호를 묻는 메시지가 표시되기를 원합니다!

감사해요


Debian 10
VM 사용, SSH만 사용

답변1

sudo를 사용하지 않는 한 내 사용자 xxxx가 루트 액세스 권한을 갖지 못하도록 하고 싶습니다.

sudo이는 실제로 일반 사용자의 정상적인 상태입니다. 허용되는 명령을 지정하기 위해 구성을 제외하고는 아무것도 수행할 필요가 없습니다.

root    ALL=(ALL:ALL) ALL

sudo이 줄은 루트 사용자로 전환한 경우에만 사용할 수 있도록 하기 위해 존재합니다. 루트가 아닌 사용자에게 권한을 부여하는 중요한 줄은 다음 줄입니다.

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

(일부 Linux 배포판에서는 운영 체제 설치 중에 생성된 첫 번째 일반 사용자가 이 그룹의 구성원이 되어 sudo자동으로 루트 액세스를 활성화할 수 있습니다. 이는 예외이며 모든 사용자에 대한 기본값은 아닙니다.)

sudoers 파일의 권한 사양의 기본 형식은 다음과 같습니다.

<who>  <where>=(<as_who>) <what>
  • <who>이 항목을 사용할 수 있는 사용자를 지정합니다. 이는 사용자, 그룹(% 기호가 앞에 붙음) 또는 이전에 정의된 User_Alias(기본적으로 사용자 및/또는 그룹의 긴 목록에 대한 약칭) 및 기타 몇 가지 사항일 수 있습니다.

  • <where>호스트 이름일 수 있습니다. 특정 시스템으로 제한됩니다. 이는 중앙에서 관리되는 표준 파일을 모든 호스트에 배치하는 기업 환경에서 유용할 수 있지만 sudoers일반적으로 호스트 이름 확인이 작동하지 않거나 시스템이 잘못 구성된 경우 문제를 피하기 위해 ALL로 지정됩니다.

  • (<as_who>)명령을 실행할 수 있는 사용자 계정을 정의합니다. 기본값은 루트이지만 루트가 아닌 특정 애플리케이션 계정에서만 sudo를 사용하여 명령을 실행하는 등 사용자를 제한할 수도 있습니다.

  • <what>허용되는 명령(또는 쉼표로 구분된 명령)입니다.

다양한 탭과 옵션이 있지만 sudoers간단히 말해서 위의 내용이 파일에서 중요한 부분입니다.

sudo를 사용할 때 사용자 xxxx에게 자신의 비밀번호가 아닌 루트 비밀번호를 묻는 메시지를 표시하고 싶습니다.

가능하고 쉽습니다. 파일에 다음 줄을 추가하는 경우 sudoers:

Defaults:xxxx rootpw,timestamp_timeout=0
xxxx    ALL=(ALL:ALL) ALL

그런 다음 사용자를 위해 xxxx(그리고오직해당 경우) sudo명령은 루트 비밀번호를 묻습니다.매번비밀번호를 다시 묻지 않고 명령을 사용하는 데 최대 15분을 허용하는 기본 동작 sudo대신 이 명령을 사용하십시오 .sudo

사용자를 모니터링하고 사용자가 루트 비밀번호를 요청할 경우 직접 루트 비밀번호를 입력하려는 경우 이는 중요합니다. 이 옵션을 놓치면 timestamp_timeout=0사용자는 먼저 합법적인 작업에 대해 루트 비밀번호를 묻고 계속하기 전에 간섭을 할 수 있습니다. . 앞으로 15분 동안 귀하를 도와드릴 수 있으며, 그 동안 sudo원하는 것은 무엇이든 사용할 수 있습니다 .

하지만 참고하세요사용자에게 루트 비밀번호를 알려주면 su다음 명령과 함께 사용할 수도 있습니다., 기본이 아닌 제한사항을 적용하지 않는 한 su. 제한하는 전통적인(그리고 종종 유일한) 방법은 사용자가 특정 그룹의 구성원이 되도록 요구하는 것입니다. 그렇지 않으면 사용자를 su전혀 사용할 수 없습니다. su이 제한 사항을 적용하려면 /etc/pam.d/su시작 부분에서 이 섹션을 편집하고 찾으세요.

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

#마지막 줄의 시작 부분에서 제거하면 su해당 그룹의 구성원만 명령을 사용할 수 있습니다 root.

관련 정보