คุณช่วยบอกฉันถึงตัวอย่างและรายละเอียดเพิ่มเติมได้ที่ /etc/sudoers.d/
ฉันต้องการให้สิทธิ์กลุ่มเพื่อ sudo คำสั่งบางอย่าง แต่ในวิธีที่เหมาะสมที่จะไม่สร้างช่องโหว่ที่ไม่จำเป็นในโมเดลความปลอดภัยของ Ubuntu บนเครื่องที่มีผู้ใช้หลายคน
ในสมัยโบราณฉันได้ทำการปรับแต่ง sudoers ง่าย ๆ แต่ตอนนี้ /etc/sudoers.d/ เป็นวิธีที่เหมาะสมกว่าและฉันต้องการที่จะเข้าใจมันมากขึ้น
คำตอบ:
ตามที่คำถามนี้บอกว่า/etc/sudoersเป็นไฟล์กำหนดค่าทั่วทั้งระบบที่สามารถเปลี่ยนแปลงได้โดยอัตโนมัติโดยการอัพเกรดระบบและมีความเปราะบางสูงต่อการเปลี่ยนแปลงที่ไม่เหมาะสม คุณอาจสูญเสียการเข้าถึงหรือทำให้ระบบของคุณไม่สามารถบูตได้ด้วยการเปลี่ยนแปลงที่ไม่เหมาะสม
$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
(... some other content ...)
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
ขัดกับสิ่งที่คุณอาจคาดหวังที่#includedirสั่งไม่ได้แสดงความคิดเห็น มันมีผลทำให้เกิดsudoการอ่านและแยกไฟล์ใด ๆ ใน/etc/sudoers.dไดเรกทอรี (ที่ไม่ได้ลงท้ายด้วย '~' หรือมีอักขระ '.')
$ ls -l /etc/sud*
-r--r----- 1 root root 755 sty 20 17:03 /etc/sudoers
/etc/sudoers.d:
total 7
-r--r----- 1 root root 958 mar 30 2016 README
$ sudo cat /etc/sudoers.d/README
#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
#
# #includedir /etc/sudoers.d
#
# This will cause sudo to read and parse any files in the /etc/sudoers.d
# directory that do not end in '~' or contain a '.' character.
#
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
#
# Note also, that because sudoers contents can vary widely, no attempt is
# made to add this directive to existing sudoers files on upgrade. Feel free
# to add the above directive to the end of your /etc/sudoers file to enable
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#
ซึ่งแตกต่างจาก/etc/sudoersเนื้อหาของ/etc/sudoers.dความอยู่รอดอัพเกรดระบบจึงเป็น preferrable /etc/sudoersสร้างไฟล์ที่มีมากกว่าที่จะปรับเปลี่ยน
คุณอาจต้องการแก้ไขไฟล์ในไดเรกทอรีนี้ด้วยvisudoคำสั่ง:
$ sudo visudo -f /etc/sudoers.d/veracrypt
GNU nano 2.5.3 File: /etc/sudoers.d/veracrypt.tmp
# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt
โปรดทราบว่าvisudoอาจใช้โปรแกรมแก้ไขอื่นแทนnanoตามที่อธิบายไว้ที่https://help.ubuntu.com/community/Sudoers
นี่คือลิงค์เพิ่มเติมอีกเล็กน้อยที่ฉันพบว่ามีประโยชน์:
/etc/sudoers.dไม่สามารถทำให้ sudo ล้มเหลวได้ ไฟล์เหล่านั้นถูกต่อเข้า/etc/sudoersด้วยกัน กฎเดียวกันนี้ใช้กับไฟล์เหล่านั้น