Як додати користувача до кореневої групи та надати привілеї в Linux

Керування привілеями користувачів є важливим аспектом адміністрування систем Linux, особливо коли йдеться про надання користувачам необхідних дозволів для виконання адміністративних завдань. Хоча системи Linux чітко розмежовують облікові записи звичайних користувачів і суперкористувачів (root), існують сценарії, коли вам може знадобитися надати користувачеві підвищені привілеї, не надаючи йому прямого доступу до root. У цьому посібнику ви дізнаєтеся, як додати користувача до групи root, надати йому привілеї sudo і безпечно налаштувати доступ користувача.

Розуміння привілеїв користувача root і користувача

Перш ніж продовжити, важливо зрозуміти наслідки додавання користувача до групи root або надання йому привілеїв sudo:

• Користувач root: Користувач root має необмежений доступ до всіх файлів, команд і служб у системі. Зловживання привілеями користувача root може призвести до ненавмисних змін у системі або навіть загрожувати безпеці.
• Привілеї sudo: Надання привілеїв sudo дозволяє користувачеві виконувати команди з правами суперкористувача, додаючи до них sudo. Це безпечніша альтернатива прямому доступу до прав суперкористувача, оскільки вона вимагає введення пароля і може бути записана для аудиту.

Передумови

• Ви повинні мати привілеї root або sudo у вашій системі.
• Обліковий запис користувача, якому ви хочете надати привілеї, має вже існувати. Якщо ні, створіть його за допомогою:
  sudo adduser username


  Замініть username на ім’я користувача, якого ви хочете додати.

Крок 1: Додавання користувача до кореневої групи

Додавання користувача до кореневої групи зазвичай не рекомендується, оскільки це може надати йому необмежений доступ до системи. Натомість краще додати користувача до групи sudo, яка є безпечнішою і більш контрольованою.

Додавання користувача до групи sudo

У більшості сучасних дистрибутивів Linux (наприклад, Ubuntu) користувачам групи sudo надаються адміністративні привілеї. Щоб додати користувача до групи sudo, скористайтеся наступною командою:

Замініть username на ім’я користувача, якому ви хочете надати доступ sudo. Параметр -aG додає користувача до вказаної групи (у цьому випадку sudo).

Перевірка членства користувача у групі

Щоб переконатися, що користувача успішно додано до групи sudo, виконайте команду:

Ця команда покаже список груп, до яких входить користувач. У списку ви повинні побачити sudo.

Крок 2: Надання привілеїв sudo

Якщо у вашому дистрибутиві Linux група sudo не використовується за замовчуванням (наприклад, у деяких старих або користувацьких дистрибутивах Linux), вам може знадобитися явно налаштувати привілеї sudo для користувача.

Редагування файлу sudoers

Файл sudoers контролює застосування привілеїв sudo до користувачів і груп. Для безпечного редагування цього файлу скористайтеся командою visudo:

Ця команда відкриває файл sudoers у текстовому редакторі, забезпечуючи перевірку синтаксису для запобігання помилок, які можуть заблокувати вам адміністративний доступ.

Щоб надати привілеї sudo певному користувачеві, додайте наступний рядок у кінці файлу:

Замініть username на ім’я користувача. Цей рядок дозволяє користувачеві виконати будь-яку команду з sudo.

• ALL=(ALL:ALL): Вказує, що користувач може виконувати команди від імені будь-якого користувача або групи.
• ALL: Вказує на те, що всі команди дозволено.

Крок 3: Тестування привілеїв sudo

Після додавання користувача до групи sudo або редагування файлу sudoers важливо перевірити, чи зміни набули чинності. Увійдіть від імені користувача (або використовуйте su для переходу до користувача) і виконайте просту команду за допомогою sudo:

Якщо конфігурація правильна, на екрані має з’явитися рядок root, що вказує на те, що користувач має привілеї sudo. Якщо ви зіткнулися з помилками, перевірте файл sudoers на наявність синтаксичних помилок.

Крок 4: Додавання користувача до групи користувачів root (не рекомендується)

Якщо вам потрібно додати користувача безпосередньо до кореневої групи (знову ж таки, це не рекомендується з міркувань безпеки), ви можете скористатися:

Однак зауважте, що додавання користувача до групи root надає йому всі привілеї користувача root, що робить це потенційним ризиком для безпеки. Безпечніше використовувати групу sudo, як описано у попередніх кроках.

Крок 5: Видалення користувача з групи sudo або root

Якщо вам потрібно відкликати привілеї sudo або root у користувача, ви можете видалити його з відповідної групи за допомогою наступної команди:

Видалення користувача з групи sudo

Замінити username на ім’я користувача. Ця команда видаляє користувача з групи sudo, позбавляючи його можливості виконувати команди від імені суперкористувача.

Видалення користувача з кореневої групи

Це видалить користувача з кореневої групи, якщо його було додано до неї.

Крок 6: Кращі практики надання привілеїв

• Використовуйте sudo замість root: Додавання користувачів до групи sudo безпечніше, ніж додавання їх безпосередньо до групи root, оскільки це обмежує можливість зловживань.
• Аудит команд користувачів: Коли користувачі використовують sudo, їхні команди можна записувати в журнал, що полегшує відстеження дій з метою безпеки та аудиту.
• Надавати мінімальний доступ: Надавайте адміністративний доступ лише тим користувачам, які дійсно потребують його для виконання своїх завдань.
• Регулярно переглядати файл sudoers: Періодично переглядайте файл sudoers і членство у групах користувачів, щоб переконатися, що лише авторизовані користувачі мають адміністративні привілеї.

Висновок

Керування доступом і привілеями користувачів у Linux є фундаментальною частиною системного адміністрування. Використовуючи групу sudo і ретельно налаштовуючи файл sudoers, ви можете надати користувачам необхідний доступ, зберігаючи при цьому безпеку вашої системи. Завжди використовуйте принцип найменших привілеїв при наданні доступу і уникайте додавання користувачів безпосередньо до групи root без крайньої необхідності. За допомогою цього посібника ви зможете ефективно керувати привілеями користувачів і забезпечити безпеку вашої системи Linux.