ดำเนินการ sudo โดยไม่มีรหัสผ่านหรือไม่

แรงบันดาลใจจากคำถามนี้....

ฉันเป็นคนเดียวที่ใช้ระบบของฉันกับ 12.04
ทุกครั้งที่ฉันออกsudoคำสั่ง ระบบขอรหัสผ่านผู้ใช้ (ซึ่งเป็นวิธีที่ดีในตัวเอง)
อย่างไรก็ตามฉันกำลังคิด โดยไม่ต้องเปิดใช้งานบัญชีรูท ฉันจะรันคำสั่ง sudo ซึ่งจะไม่ขอรหัสผ่านผู้ใช้ในการตรวจสอบ

หมายเหตุ: ฉันต้องการรันคำสั่ง sudo โดยไม่ต้องพิสูจน์ตัวตนด้วยรหัสผ่าน เฉพาะเมื่อมีการดำเนินการผ่านเทอร์มินัล
ฉันไม่ต้องการลบการรักษาความปลอดภัยเลเยอร์พิเศษนี้จากฟังก์ชั่นอื่น ๆ ในขณะที่ใช้ 'ศูนย์ซอฟต์แวร์อูบุนตู' หรือรันสคริปต์ทุบตีโดยการลากไฟล์ something.sh ไปยังเทอร์มินัล

sudo -i เป็นวิธีที่จะไปหากคุณไม่ต้องการพิมพ์รหัสผ่านทุก ๆ 10 นาทีขณะทำการแก้ไขในระบบของคุณ (หรือระบบอื่น ๆ ) และคุณไม่ต้องการแก้ไขไฟล์ระบบใด ๆ

มันจะสลับคุณไปที่รูทโดยsudoใช้รหัสผ่านผู้ใช้ของคุณเมื่อคุณปิดคอนโซลหรือพิมพ์exitคุณจะกลับไปที่ผู้ใช้ปกติของคุณ

คุณสามารถกำหนดค่าsudoให้ไม่ขอรหัสผ่านของคุณ

เปิดหน้าต่าง Terminal และพิมพ์:

sudo visudo

ที่ด้านล่างของไฟล์เพิ่มบรรทัดต่อไปนี้:

$USER ALL=(ALL) NOPASSWD: ALL

$USERชื่อผู้ใช้ของคุณอยู่ที่ไหนในระบบของคุณ บันทึกและปิดไฟล์ sudoers (หากคุณยังไม่ได้เปลี่ยนเทอร์มินัลเริ่มต้นของคุณ (คุณจะรู้ว่าคุณมี) กด ctl + x เพื่อออกnanoและมันจะแจ้งให้คุณบันทึก)

ในฐานะของ Ubuntu 19.04 ตอนนี้ไฟล์ควรมีหน้าตาเป็นอย่างไร

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

YOUR_USERNAME_HERE ALL=(ALL) NOPASSWD: ALL

หลังจากนี้คุณสามารถพิมพ์sudo <whatever you want>ในหน้าต่าง Terminal โดยไม่ต้องใส่รหัสผ่าน

สิ่งนี้ใช้ได้เฉพาะกับการใช้sudoคำสั่งในเทอร์มินัล คุณจะยังคงได้รับแจ้งให้ใส่รหัสผ่านหากคุณ (เช่น) ลองติดตั้งแพคเกจจากศูนย์ซอฟต์แวร์

รูท sudo timeouts เป็นวิธีที่ง่ายและปลอดภัยที่สุดในการทำเช่นนี้ ฉันจะวางเค้าโครงตัวอย่างทั้งหมด แต่ได้รับการเตือนว่ามีความเสี่ยงมาก ๆ ไม่ว่าคุณจะทำอย่างไรแม้ว่าวิธีนี้จะปลอดภัยกว่ามาก:

sudo visudo

นี่เป็นการเปิดตัวแก้ไขและชี้ไปที่ไฟล์ sudoers - อูบุนตูใช้ค่าเริ่มต้นเป็นนาโน, ระบบอื่น ๆ ใช้ Vi ตอนนี้คุณเป็นผู้ใช้ขั้นสูงในการแก้ไขไฟล์ที่สำคัญที่สุดในระบบของคุณ ไม่มีความเครียด!

(คำแนะนำเฉพาะ Vi ที่บันทึกด้วย(vi!) ให้ข้ามสิ่งเหล่านี้หากคุณใช้นาโน)

ใช้ปุ่มลูกศรเพื่อเลื่อนไปยังจุดสิ้นสุดของDefaultsบรรทัด

(vi!)กดปุ่ม A (ตัวใหญ่ "a") เพื่อย้ายที่ท้ายบรรทัดปัจจุบันและเข้าสู่โหมดแก้ไข (ต่อท้ายอักขระตัวสุดท้ายในบรรทัด)

ตอนนี้พิมพ์:

,timestamp_timeout=X

โดยที่ X คือการหมดเวลาหมดอายุในหน่วยนาที หากคุณระบุ 0 คุณจะถูกถามรหัสผ่านเสมอ หากคุณระบุค่าลบการหมดเวลาจะไม่หมดอายุ Defaults env_reset,timestamp_timeout=5เช่น

(vi!)กดปุ่ม Escape เพื่อกลับสู่โหมดคำสั่ง ตอนนี้ถ้าคุณพอใจกับการแก้ไขของคุณแล้วให้พิมพ์:w Enterเพื่อเขียนไฟล์และ:q Enterออกจาก vi หากคุณทำผิดอาจเป็นวิธีที่ง่ายที่สุดคือทำซ้ำตั้งแต่เริ่มต้นเพื่อออกโดยไม่บันทึก (กดEscapeเพื่อเข้าสู่โหมดคำสั่ง) แล้วพิมพ์: q! Enter.

กดปุ่มCtrl+ XจากYนั้นEnterบันทึกไฟล์ของคุณและออกจากนาโน

คุณอาจต้องการอ่านหน้า sudoers และ vi ด้วยตนเองสำหรับข้อมูลเพิ่มเติม

man sudoers
man vi

รีเซ็ตค่าการหมดเวลาโดยใช้:

sudo -k

คำแนะนำเหล่านี้คือการลบพรอมต์สำหรับรหัสผ่านเมื่อใช้คำสั่ง sudo คำสั่ง sudo จะยังคงต้องใช้สำหรับการเข้าถึงรูท

แก้ไขไฟล์ sudoers

เปิดหน้าต่าง Terminal sudo visudoพิมพ์ เพิ่มบรรทัดต่อไปนี้ในตอนท้ายของไฟล์ (หากไม่ใช่ตอนท้ายไฟล์นั้นอาจถูกทำให้เป็นโมฆะโดยรายการในภายหลัง):

<username> ALL=NOPASSWD: ALL

แทนที่<username>ด้วยชื่อผู้ใช้ของคุณ (ไม่มี<>) นี่คือสมมติว่า Ubuntu ได้สร้างกลุ่มที่มีชื่อเดียวกับชื่อผู้ใช้ของคุณซึ่งเป็นเรื่องปกติ คุณสามารถเลือกใช้ผู้ใช้กลุ่มหรือกลุ่มอื่น ๆ ที่คุณอยู่เพียงแค่ให้แน่ใจว่าคุณอยู่ในกลุ่มนั้น สามารถตรวจสอบได้โดยไปที่ระบบ -> การบริหาร -> ผู้ใช้และกลุ่ม

ตัวอย่าง:

michael ALL=NOPASSWD: ALL

พิมพ์ ^ X ( Ctrl+ X) เพื่อออกจาก สิ่งนี้ควรถามตัวเลือกในการบันทึกไฟล์พิมพ์ใน Y เพื่อบันทึก

ออกจากระบบแล้วกลับเข้าสู่ระบบในตอนนี้ควรอนุญาตให้คุณเรียกใช้คำสั่ง sudo โดยไม่ต้องใส่รหัสผ่าน

บัญชีรูท

เปิดใช้งานบัญชีรูท

การเปิดใช้งานบัญชีรูทไม่ค่อยจำเป็น เกือบทุกสิ่งที่คุณต้องทำในฐานะผู้ดูแลระบบ Ubuntu สามารถทำได้ผ่าน sudo หรือ gksudo หากคุณต้องการการล็อกอินรูทแบบถาวรอย่างถาวรทางเลือกที่ดีที่สุดคือการจำลองเชลล์ล็อกอินรูทโดยใช้คำสั่งต่อไปนี้:

sudo -i

อย่างไรก็ตามหากคุณต้องเปิดใช้งานการเข้าสู่ระบบรูทคุณสามารถทำได้ดังนี้:

sudo passwd root

ปิดใช้งานบัญชีรูทของคุณอีกครั้ง

หากด้วยเหตุผลบางอย่างที่คุณเปิดใช้งานบัญชีรูทของคุณและต้องการปิดใช้งานอีกครั้งให้ใช้คำสั่งต่อไปนี้ในเทอร์มินัล:

sudo passwd -dl root

กลุ่ม sudo ทั่วทั้งระบบ

root$ echo "%sudo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

ออกจากระบบแล้วกลับเข้ามาใหม่

รีเซ็ตการหมดเวลาของ sudo

คุณสามารถมั่นใจได้ว่า sudo ขอรหัสผ่านครั้งต่อไปโดยการเรียกใช้

sudo -k

วิธีที่ต้องการให้สิทธิ์บุคคล (หรือกลุ่ม) การอนุญาตจะเพิ่มไฟล์ภายใต้ /etc/sudoers.d

สิ่งนี้แยกการเปลี่ยนแปลงในเครื่องออกจากนโยบายเริ่มต้นและประหยัดเวลาในกรณีที่ไฟล์ sudoers แจกจ่ายเปลี่ยนไป

ในการทำให้ผู้ใช้ที่เข้าสู่ระบบในปัจจุบันเป็น sudoer และsudoไม่ได้แจ้งให้ใส่รหัสผ่านให้ใช้

echo "$USER ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/$USER

สิ่งนี้จะสร้างไฟล์ชื่อ/etc/sudoers.d/$USER(ซึ่ง$USERเป็นชื่อผู้ใช้ของผู้ใช้ที่คุณเข้าสู่ระบบเหมือนตอนที่คุณรันคำสั่งนั้น) ทำให้ชัดเจนว่าผู้ใช้รายใดได้รับอนุญาต

หากคุณต้องการทำเช่นนั้นกับผู้ใช้รายอื่นเพียงแค่แทนที่ทั้งสองอินสแตนซ์$USERด้วยชื่อผู้ใช้อื่นในคำสั่งด้านบน

echo "otheruser ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/otheruser

ในทำนองเดียวกันไฟล์เดียวสามารถใช้ในการจัดการหลายคำสั่ง:

echo "username ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee -a /etc/sudoers.d/local

ดู/etc/sudoers.d/READMEและman sudoersสำหรับข้อมูลเพิ่มเติม

ดีหนึ่งซับเพื่อลบ sudo แจ้งให้ผู้ใช้ปัจจุบัน

sudo bash -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" | (EDITOR="tee -a" visudo)'

แน่นอนว่าสิ่งที่คุณต้องการจะทำไม่แนะนำ หลังจากผ่านไปครู่หนึ่งถึงแม้ว่าการป้อนsudoจะกลายเป็นอัตโนมัติจนความมีประโยชน์ลดลง

อีกวิธีหนึ่งคือการปล่อย sudoers sudo bashไฟล์ของคุณเป็นและในขณะที่ทำบางสิ่งบางอย่างซับซ้อนมากมายร้อยเซิร์ฟเวอร์ของคุณป้อน ที่จะให้เปลือกที่จะรับรองความถูกต้องเป็น root จนกว่าคุณจะออกจากมัน

จากผู้ใช้ขั้นสูงเป็นคำตอบที่ดี:

ใช้สวิตช์ -S ซึ่งอ่านรหัสผ่านจาก STDIN:

echo <password> | sudo -S <command>

แทนที่<password>ด้วยรหัสผ่านของคุณ

หนึ่งในสายการบิน

sudo sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g'

นี่เป็นโซลูชันบรรทัดเดียวที่เปลี่ยนแปลงการอนุญาตให้ใช้ไฟล์ตามที่ระบุใน/etc/sudoer.d/README:

sudo sh -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/$(logname)' & sudo chmod 440 /etc/sudoers.d/$(logname)

• การขยายแนวคิด @upteryx

• นี่คือวิธีที่ฉันใช้ผู้ใช้ที่ไม่ใช่รูทและไม่มีรหัสผ่านในอิมเมจ Docker ชั่วคราวสำหรับใช้ใน CICD ไปป์ไลน์:

RUN \
    groupadd -g 999 foo && useradd -u 999 -g foo -G sudo -m -s /bin/bash foo && \
    sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^root.*/root ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^#includedir.*/## **Removed the include directive** ##"/g' && \
    echo "foo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers && \
    echo "Customized the sudoers file for passwordless access to the foo user!" && \
    echo "foo user:";  su - foo -c id