प्रारंभिक सेटिंग्स : Sudo समायोजन2023/09/30

यदि कुछ लोग विशेषाधिकार साझा करते हैं तो उपयोगकर्ताओं के कर्तव्य को अलग करने के लिए Sudo को कॉन्फ़िगर करें।

इसे मैन्युअल रूप से sudo स्थापित करने की आवश्यकता नहीं है क्योंकि यह न्यूनतम स्थापित वातावरण होने पर भी डिफ़ॉल्ट रूप से स्थापित होता है।

[1]

किसी उपयोगकर्ता को रूट विशेषाधिकार स्थानांतरित करें।

[root@dlp ~]#

visudo

# अंत में जोड़ें: उपयोगकर्ता [fedora] सभी रूट विशेषाधिकार का उपयोग कर सकता है

fedora  ALL=(ALL)       ALL

# कैसे लिखें ⇒ गंतव्य होस्ट=(स्वामी) आदेश

# उपयोगकर्ता से सत्यापित करें [fedora]

[fedora@dlp ~]$

/usr/bin/cat /etc/shadow

/usr/bin/cat: /etc/shadow: Permission denied

# सामान्यतः अस्वीकार कर दिया गया

[fedora@dlp ~]$

sudo /usr/bin/cat /etc/shadow

Password:

# उपयोगकर्ता का पासवर्ड

.....
.....
systemd-coredump:!*:19312::::::
systemd-timesync:!*:19312::::::

# अभी निष्पादित

[2]	In addition to the setting of [1], set some commands prohibit.

[root@dlp ~]#

visudo

# पंक्ति 49: जोड़ें
# उदाहरण के लिए, शटडाउन कमांड के प्रकार के लिए उपनाम सेट करें

Cmnd_Alias SHUTDOWN = /usr/sbin/halt, /usr/sbin/shutdown, \
/usr/sbin/poweroff, /usr/sbin/reboot, /usr/sbin/init, /usr/bin/systemctl

# जोड़ें (उपनाम [SHUTDOWN] में आदेशों को प्रतिबंधित करें)

fedora  ALL=(ALL)       ALL, !SHUTDOWN

# उपयोगकर्ता से सत्यापित करें [fedora]

[fedora@dlp ~]$

sudo /usr/sbin/reboot

[sudo] password for fedora:
Sorry, user fedora is not allowed to execute '/usr/sbin/reboot' as root on dlp.srv.world.

# सामान्यतः अस्वीकार कर दिया गया

[3]	किसी समूह में उपयोगकर्ताओं को रूट विशेषाधिकार के साथ कुछ कमांड स्थानांतरित करें।

[root@dlp ~]#

visudo

# पंक्ति 51: जोड़ें
# उदाहरण के लिए, उपयोगकर्ता प्रबंधन आदेशों के प्रकार के लिए उपनाम सेट करें

Cmnd_Alias USERMGR = /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod, \
/usr/bin/passwd

# अंत में जोड़ें

%usermgr ALL=(ALL) USERMGR

[root@dlp ~]#

groupadd usermgr

[root@dlp ~]#

usermod -aG usermgr redhat

# उपयोगकर्ता से सत्यापित करें [redhat]

[redhat@dlp ~]$

sudo /usr/sbin/useradd testuser

[redhat@dlp ~]$

sudo /usr/bin/passwd testuser

Changing password for user testuser.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

# निष्पादित

[4]	किसी उपयोगकर्ता को रूट विशेषाधिकार के साथ एक कमांड स्थानांतरित करें।

[root@dlp ~]#

visudo

# अंत में जोड़ें: प्रत्येक उपयोगकर्ता के लिए सेटिंग्स

fedora  ALL=(ALL)       /usr/sbin/visudo
ubuntu  ALL=(ALL)       /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod, /usr/bin/passwd
debian  ALL=(ALL)       /usr/bin/vi

# उदाहरण के लिए, उपयोगकर्ता से सत्यापित करें [fedora]

[fedora@dlp ~]$

sudo /usr/sbin/visudo

## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##

# अभी निष्पादित

[5]	Sudo लॉग को Journald ([journalctl] कमांड के साथ) या Rsyslogd ([/var/log/secure] फ़ाइल में) पर प्रदर्शित करना संभव है। लेकिन यदि आप किसी अन्य फ़ाइल में केवल Sudo लॉग रखना चाहते हैं, तो निम्नानुसार कॉन्फ़िगर करें।

[root@dlp ~]#

visudo

# अंत में जोड़ें
# उदाहरण के लिए, आउटपुट [local1] सुविधा में लॉग होता है

Defaults syslog=local1

[root@dlp ~]#

vi /etc/rsyslog.conf

# पंक्ति 47,48 : इस प्रकार जोड़ें

*.info;mail.none;authpriv.none;cron.none;local1.none   /var/log/messages
local1.*                /var/log/sudo.log

# The authpriv file has restricted access.
authpriv.*              /var/log/secure

[root@dlp ~]#

systemctl restart rsyslog

मिलान सामग्री