Як додати користувача до кореневої групи та надати привілеї в Linux ⋆ ALexHost SRL
Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills
05.12.2024

Як додати користувача до кореневої групи та надати привілеї в Linux

Керування привілеями користувачів є важливим аспектом адміністрування систем Linux, особливо коли мова йде про надання користувачам необхідних дозволів для виконання адміністративних завдань.

Хоча системи Linux розроблені таким чином, щоб підтримувати чіткий поділ між обліковими записами звичайних користувачів і суперкористувача (root), існують ситуації, коли вам може знадобитися надати користувачеві підвищені привілеї, не надаючи йому повного, необмеженого доступу root. Це часто трапляється, коли вам потрібно дозволити користувачеві виконувати адміністративні завдання, але ви хочете зберегти контроль над тим, які дії він може виконувати, і забезпечити безпеку системи. Надання користувачеві обмеженого доступу до привілеїв root, зазвичай за допомогою команди sudo, є безпечною і поширеною практикою, яка дозволяє користувачам виконувати певні завдання, що вимагають адміністративних привілеїв.

У цьому посібнику ми розглянемо процес надання користувачеві привілеїв sudo таким чином, щоб обмежити його доступ, дозволивши йому виконувати команди з правами суперкористувача лише за необхідності. Процес включає додавання користувача до певних груп, які керують доступом до sudo, зміну конфігураційних файлів і забезпечення безпеки системи шляхом застосування належних практик у наданні користувацьких привілеїв.

Розуміння привілеїв root і користувача

Перш ніж продовжити, важливо зрозуміти наслідки додавання користувача до групи root або надання йому привілеїв sudo:

  • Користувач root: Користувач root має необмежений доступ до всіх файлів, команд і служб у системі. Зловживання привілеями root може призвести до ненавмисних змін у системі або навіть до ризиків для безпеки.
  • Привілеї sudo: Надання привілеїв sudo дозволяє користувачеві виконувати команди з правами суперкористувача, додаючи до них sudo. Це безпечніша альтернатива прямому доступу до прав суперкористувача, оскільки вона вимагає введення пароля і може бути записана для аудиту.

Передумови

  • Ви повинні мати привілеї root або sudo у вашій системі.
  • Обліковий запис користувача, якому ви хочете надати привілеї, має вже існувати. Якщо ні, створіть його за допомогою:
    sudo adduser ім'я користувача

    Замініть username на ім’я користувача, якого ви хочете додати.

Крок 1: Додавання користувача до кореневої групи

Додавання користувача до кореневої групи зазвичай не рекомендується, оскільки це може надати йому необмежений доступ до системи. Натомість краще додати користувача до групи sudo, яка є безпечнішою і більш контрольованою.

Додавання користувача до групи sudo

У більшості сучасних дистрибутивів Linux (наприклад, Ubuntu) користувачам групи sudo надаються адміністративні привілеї. Щоб додати користувача до групи sudo, скористайтеся наступною командою:

sudo usermod -aG sudo ім'я користувача

Замініть username на ім’я користувача, якому ви хочете надати доступ sudo. Параметр -aG додає користувача до вказаної групи (у цьому випадку sudo).

Перевірка членства користувача у групі

Щоб переконатися, що користувача успішно додано до групи sudo, виконайте команду:

groups ім'я користувача

Ця команда покаже список груп, до яких входить користувач. У списку ви повинні побачити sudo.

Крок 2: Надання привілеїв sudo

Якщо у вашому дистрибутиві Linux група sudo не використовується за замовчуванням (наприклад, у деяких старих або користувацьких дистрибутивах Linux), вам може знадобитися явно налаштувати привілеї sudo для користувача.

Редагування файлу sudoers

Файл sudoers контролює застосування привілеїв sudo до користувачів і груп. Для безпечного редагування цього файлу скористайтеся командою visudo:

sudo visudo

Ця команда відкриває файл sudoers у текстовому редакторі, забезпечуючи перевірку синтаксису для запобігання помилок, які можуть заблокувати вам адміністративний доступ.

Щоб надати привілеї sudo певному користувачеві, додайте наступний рядок у кінці файлу:

ім'я користувача ALL=(ALL:ALL) ALL

Замініть username на ім’я користувача. Цей рядок дозволяє користувачеві виконати будь-яку команду з sudo.

  • ALL=(ALL:ALL): Вказує, що користувач може виконувати команди від імені будь-якого користувача або групи.
  • ALL: Вказує на те, що всі команди дозволено.

Крок 3: Тестування привілеїв sudo

Після додавання користувача до групи sudo або редагування файлу sudoers важливо перевірити, чи зміни набули чинності. Увійдіть від імені користувача (або використовуйте su для переходу до користувача) і виконайте просту команду за допомогою sudo:

sudo whoami

Якщо конфігурація правильна, на екрані має з’явитися рядок root, що вказує на те, що користувач має привілеї sudo. Якщо ви зіткнулися з помилками, перевірте файл sudoers на наявність синтаксичних помилок.

Крок 4: Додавання користувача до групи користувачів root (не рекомендується)

Якщо вам потрібно додати користувача безпосередньо до кореневої групи (знову ж таки, це не рекомендується з міркувань безпеки), ви можете скористатися:

sudo usermod -aG ім'я користувача root

Однак зауважте, що додавання користувача до групи root надає йому всі привілеї користувача root, що робить це потенційним ризиком для безпеки. Безпечніше використовувати групу sudo, як описано у попередніх кроках.

Крок 5: Видалення користувача з групи sudo або root

Якщо вам потрібно відкликати привілеї sudo або root у користувача, ви можете видалити його з відповідної групи за допомогою наступної команди:

Видалення користувача з групи sudo

sudo deluser ім'я користувача sudo

Замінити username на ім’я користувача. Ця команда видаляє користувача з групи sudo, позбавляючи його можливості виконувати команди від імені суперкористувача.

Видалення користувача з кореневої групи

sudo deluser ім'я користувача root

Це видалить користувача з кореневої групи, якщо його було додано до неї.

Крок 6: Кращі практики надання привілеїв

  • Використовуйте sudo замість root: Додавання користувачів до групи sudo безпечніше, ніж додавання їх безпосередньо до групи root, оскільки це обмежує можливість зловживань.
  • Аудит команд користувачів: Коли користувачі використовують sudo, їхні команди можна записувати в журнал, що полегшує відстеження дій з метою безпеки та аудиту.
  • Надавати мінімальний доступ: Надавайте адміністративний доступ лише тим користувачам, які дійсно потребують його для виконання своїх завдань.
  • Регулярно переглядати файл sudoers: Періодично переглядайте файл sudoers і членство у групах користувачів, щоб переконатися, що лише авторизовані користувачі мають адміністративні привілеї.

Висновок

Керування доступом і привілеями користувачів у Linux є фундаментальною частиною системного адміністрування. Використовуючи групу sudo і ретельно налаштовуючи файл sudoers, ви можете надати користувачам необхідний доступ, зберігаючи при цьому безпеку вашої системи. Завжди використовуйте принцип найменших привілеїв при наданні доступу і уникайте додавання користувачів безпосередньо до групи root без крайньої необхідності. За допомогою цього посібника ви зможете ефективно керувати привілеями користувачів і забезпечити безпеку вашої системи Linux.

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills