A Linux rendszereknél jellemzően kétféle felhasználó van: a sima user, azaz a felhasználó, illetve a teljhatalmú úr: a rendszergazda. A root, a rendszergazda jogosult minden olyan feladatra, ami érinti a rendszer egészét. Ha sima user szeretne valami olyan feladatot elvégezni, amihez rendszergazdai jogok kellenének, két lehetősége van: vagy belép root felhasználóként, vagy ideiglenesen „igényel” emeltebb jogot. Ezt az emeltebb jogot a sudo paranccsal kapjuk meg. Ha otthoni a gép, csak te használod akkor is ezt használjuk, hiszen a kilépek a sima felhasználói fiókból, majd belépek rendszergazdaként elég időigényes. Egyéb helyeken eléggé szabályozzák, hogy egy sima user milyen feladatokat láthat el a sudo paranccsal. Ez ismert is volt eddig is, nagy újdonságot nem írtam.
Ha használod a sudo-t, észrevehetted, hogy az első olyan parancs után, aminél használod, a következőknél már egy ideig nem kéri be a jelszót újra. Ez az idő jellemzően 15 perc, de a disztribútorod döntése, vagy a rendszergazda beállításai szerint ez eltérhet.
Sudo időkorlát beállítása
Ez az érték nem minden esetben jó. Sok esetben rövidnek bizonyulhat, ha hosszabban akarsz rendszert adminisztrálni. Ha kezdő vagy, és lassan dolgozol, akkor nagyon idegesítő tud lenni, ha teszed a dolgod, örülsz, hogy végre megtalálta a google a neked fontos megoldást, beírod, majd a terminál kiírja, hogy neked ehhez semmi jogod. Bár magát a parancsot nem kell újra begépelni, a shell (a terminál, ha egyszerűen akarjuk megfogalmazni) megjegyzi és a felfele nyíllal vissza tudod hozni a parancsokat, majd elírod, hogy sudo. Illetve a zsh shellnél van olyan plugin amivel az ESC kétszeri lenyomása után az utolsó parancsot már így írja vissza a terminálba. De az idő, és plusz egy lépés, ha kifutsz a megadott 15 perces időkeretből. A másik véglet, amikor sok a 15 perc. Ha úgy gondolod, hogy te jellemzően sokkal gyorsabban végzel, vagy csak egy-egy parancsot akarsz sudo-zni, akkor már biztonsági rés lehet, hogy hosszabb ideig tárolja az emeltebb jogot a rendszer. Így első lépés, hogy megszokjuk: ha végeztünk a rendszerünk adminisztrációjával, kilépünk a terminálból, becsukjuk az ablakát. Az gondolom egyértelmű, ha root-ként léptünk be, akkor kilépünk a root felhasználói fiókból és visszalépünk sima, mezei userként.
Ha nem felel meg számodra a 15 perc, akkor azt meg kell változtatni. Erre is van mód, hiszen a Linux rendszerek nagyon jól testreszabhatóak. A sudo beállításai a sudoerc fájlban vannak. Ami egy sima szövegfájl. De, és itt nagyon fontos megjegyezni, hogy ezt soha nem szerkesztjük egy szövegszerkesztővel. Soha! Csak, és kizárólag a megadott módszerrel szerkeszd, mert a visudo nem csak szerkeszti, hanem ellenőrzi is a beírtakat, és ha gondja van szólni fog.
sudo visudo
majd bekéri a jelszavadat. Ezután már szerkeszthető a sudo konfigurációs állománya. Ilyen sort keress:
Defaults env_reset
Ehhez kell hozzáadni a timestamp_timeout=x részt, ahol az x lesz az az érték, ameddig a sudo tárolja a jelszavadat. Nálam ez így néz ki:
Defaults env_reset
Defaults timestamp_timeout=1
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:>
A sudo időlimitje nálam egy perc. Ezután már újra bekéri a jelszót. Első körben ez rövidnek tűnik, de ennyi általában elég, és a jelszó újbóli megadása sem okoz gondot. Ha nincs ilyen sor, hozd létre.
Ha azt akarod, hogy a rendszer minden alkalommal kérjen jelszót a sudo parancs végrehajtásakor, állítsd az értékét 0-ra. Paranoidabb felhasználóknak, gyorsan gépelőknek, vagy olyan helyen, ahol más is hozzáférhet a géphez ez egy jó ötlet lehet. Ha azt akarod, hogy a rendszerben soha ne járjon le a jelszó (az adott menetben!) akkor állítsd -1-re. Ellenjavallt, bár egy olyan helyzetben, amikor egy-egy disztribúciót próbálgatsz hasznos lehet, hogy soha nem kér jelszót. Én teszteléskor egy rövid, gyorsan beírható jelszót használok. Amúgy meg nem kellene használni így, ha nincs konkrét célod vele.
Majd CTRL+o kiíratjuk a módosításokat, és CTRL+x kilépünk. Ha valami nem stimmel, akkor a visudo szól, és rákérdez a teendőkre. Soha ne írasd felül a sudo beállítási állományt abban az esetben, ha hibát jelez, vagy nem vagy teljesen biztos, hogy tudod mit csinálsz.
Azért használjuk a visudo-t, mert ellenőrzi a fájlban lévő beállítást és ha valami nem tetszik neki, akkor szól!
Érdemes két sudo kapcsolót ismerni, bár én nem használom ezeket, de hasznosak lehetnek.
Egyetlen parancs használatával kérheted, hogy az emelt jog addig tartson, amíg be nem zárod a terminált, függetlenül attól, hogy a terminál mennyi ideig marad nyitva. A következő parancs végrehajtása után a rendszer nem kéri a sudo parancsok jelszavát:
sudo -s
Így amíg nyitva lesz a terminál ablakod, egyszeri jelszó megadásával dolgozhatsz emelt joggal.
Ha pedig az időkorlát lejárta előtt szeretnél „megszabadulni” az emelt jogtól, a
sudo -k
paranccsal megteheted. Ami fontos! Ha előtte a sudo -s paranccsal a terminál bezárásig kérted az emelt jogot, akkor ez nem fog működni! Ami logikus is, hiszen itt arra kérted a rendszert, hogy bizony addig legyél emelt joggal, amíg a terminált nyitva tartod, és bírálja felül az alapbeállítást.
Bármelyik megoldást használod, soha ne hagyd ott a gépet egy emelt jogú nyitott terminállal. Zárd le a munkádat, ha root-ként vagy bejelentkezve, akkor lépj ki, ha emelt jogot „béreltél” a sudo-val, akkor fejezd be, és légy sima user…
Hozzászólások
Sudo időkorlát beállítása Linux alatt
Beküldte lala -
Értékelés:
A gyakorlatban mi a kulonbseg a:
es a
kozott? https://ibb.co/kxjYyhN
(Milyen helyzetben kell/ajanlott az egyiket ill.a masikat hasznalni?)
Ne kérjen jelszavat!
Beküldte najan -
Értékelés:
Hogyan lehet elérni hogy indítás után ne kérjen egyáltalán semmilyen jelszavat, terminál többszörös kinyitásánál sem. Legyen ez sudo vagy root a Debiannál.
Ne kérjen jelszavat!
Beküldte lala -
Értékelés:
Ez miert/mire/lenne jo neked? (Egyebkent megoldhato - nekem is a Guugli baratom sugta meg.)
Ez azért lenne jó hogy ne
Beküldte najan -
Értékelés:
Ez azért lenne jó hogy ne kelljen minden program indításnál és terminálozásnál jelszavat ütögetni. Lehet hogy a fejlesztők mindenkit hülyének néznek, de nekem erre nincs szükszégem.
Lehet hogy ez a nagy titok?
És ha ismered miért nem osztod meg?
Ez azért lenne jó hogy ne
Beküldte T.István -
Értékelés:
Milyen disztrót használsz?
Amiben minden program és terminál indításnál jelszót kell megadni? Mert ilyent még nem hallottam.
Teljesen jelszótlanítani nem ajánlott, nem vagy te akkora jani, senki sem az, hogy megakadályozd: ne szórja az áldást a zombi géped, miután megfertöződött.
Ez azért lenne jó hogy ne
Beküldte najan -
Értékelés:
Debian alapú a rendszer, LM, MX
Nem értem hova és mit szórna a zombi gépem? Pontosabban?
És ha ismered miért nem osztod meg?
Beküldte csuhas32 -
Értékelés:
Talán mert ő is úgy véli, hogy ezzel veszélybe sodornád a saját rendszered és jelentősen növelnéd annak esélyét, hogy mások rendszerét a tiédről támadják.
Én is ismerem ennek megoldását, de én sem írom ide le neked. Lehet, hogy most ezt másképp érzed, de esküszöm, hogy ez nem ellened van, hanem érted.
Ha mást nem, legalább egy egyszerű jelszót mindenképp használj szerintem.
Ez azért lenne jó hogy ne
Beküldte T.István -
Értékelés:
Szerintem egyik említett alatt sem kell terminál megnyitáskor, vagy a programok elindításakor jelszót megadni, nem értem miről írsz. Léteznek olyan programok, amikhez jelszó kell, ezek hardverközeli tevékenységet érintenek, és van egy két nem adott disztribúcióhoz dedikáltan készült program, ami jelszót kér induláskor, ha jelszó nélküli belépés volt, de azért ez nem jellemző, nem gondolom, hogy csak ilyen programok lennének a rendszereden, pláne hogy ezeket jellemzően külső forrásból lehet feltelepíteni. Ezeken amúgy nem segít semmilyen külön beállítás, akkor is jelszót fognak kérni, mert egyszerűen így vannak megírva. A terminál nem kérhet jelszót, ha azon belül rendszert érintő műveleteket folytatnál ahhoz kell jelszó, de egy csomó parancshoz nem kell. Ami zavarhat még, hogy frissítéskor sokat kell jelszót megadni, azt viszont be lehet állítani automata üzemmódra (Mint alatt biztosan, MX-et nem tudom), keresd meg a beállítások között. Egyszer kell itt jelszóval jóváhagyni a beállítást, utána csendben magától fog frissülni.
Sehol nem írtam hogy a
Beküldte najan -
Értékelés:
Sehol nem írtam hogy a terminál megnyitáskor jelszót kér, a többi program lehet pl. gparted, gsmartcontrol, synaptic bleachbit root, root fájlmenedzser, és sok más kéri állandóan megállásnélkül a jelszót. Csukás Ödön már rájött ennek a briliáns logikájára.
Van a kés.
A kés veszélyes.
Késsel hátbaszúrhatod magad.
Sudo és késsel hátbaszúrhatod magad.
Sehol nem írtam hogy a
Beküldte T.István -
Értékelés:
Igen, ezek tényleg jelszót igényelnek, és kihagytad a HDD sentinelt, a Seatools-t, meg még egy rakatot, de ezeket tényleg mindennapi olyan rendszerességgel futtatod, hogy fáj a jelszó megadása?
A többi programot nem is használod, csak ezeket?
Ne támadásnak vedd
Beküldte horvjoe -
Értékelés:
Ne vedd támadásnak, de ha úgy gondolod, hogy Neked a sudo jelszóra nincs szükséged, akkor az hogy lehetséges, hogy nem tudod ennek a kiküszöbölését megkeresni a neten?
Én személy szerint azt javaslom hagyd meg! Teljesen egyetértek a hozzászólásokkal. :)
És mégegyszer hangsúlyozom nem akartalak megbántani, megsérteni.
Sudo időkorlát beállítása Linux alatt
Beküldte balacy -
Értékelés:
Passz :) ez már olyan finomítás az átjelentkezésnél, hogy soha nem érdekelt. Így nem tudok érdemit mondani, hülyeséget meg nem akarok.
Ne kérjen jelszavat! Ne kérjen jelszavat! Ne kérjen jelszavat!
Beküldte balacy -
Értékelés:
Beállíthatod sudo-t, hogy soha ne kérje a jelszót.
Nyiss meg egy terminál ablakot, és írd be:
A fájl alján add hozzá a következő sort:
Ahol $USER a felhasználóneved a rendszerben.
Ment, és ezután már nem kér a sudo jelszót. Elég nagy biztonsági rés.
Kipróbáltam, nálam működik.
Kieg: ha mindenképp egy ilyen megoldást akarsz, mert zavar a folyamatos jelszómegadás, akkor a fentieket írd be, használd a gépet jelszómegadás nélkül, amikor sok terminálos rendszergazdai munkád van. Majd, ha végeztél állítsd vissza az eredeti állapotot egy #-t téve a sor elé. Így kényelmesebben dolgozhatsz, de azután visszaáll a biztonsági szinted.
Ne kérjen jelszavat!
Beküldte csuhas32 -
Értékelés:
Ha Linux Mint rendszere van Cinnamon felülettel, akkor jobb egérgomb akár az Asztalon vagy a fájlkezelőben bárhol egy üres helyen, megnyitás rendszergazdaként. Megadja egyszer a jelszavát, az így megnyíló rendszergazdai jogú fájlkezelőben újabb jobb egérgomb, megnyitás terminálban. Máris van egy root jogú terminálablaka. És ebből annyit nyit a rendszergazdai jogú fájlkezelőből, amennyit csak akar. Felőlem akár dolgozhat tíz terminálablakkal is.
Szerintem ez se rossz és akkor nem kell oda-vissza piszkálni a sudoerst.
Ha csak egy vagy két terminálablakkal szeretne dolgozni, akkor
után sincs időkorlát az én megérzésem szerint, és sudo sem kell már a parancsok elé a munkamenet végéig.
(De talán nem ezt szeretné, hanem hogy a felhasználói fiókba történő bejelentkezés után soha semmihez ne kelljen jelszót megadni. Ugyanez volt az igénye nem oly rég egy témában, azóta már elhasználódott azonosítójú, fórumtársunknak.)
Ne kérjen jelszavat!
Beküldte balacy -
Értékelés:
Köszi, erre nem is gondoltam, mert én mindig konfig szerkesztésben gondolkodtam :) A következő részbe ezt is beleveszem.
Ne kérjen jelszavat!
Beküldte najan -
Értékelés:
Köszönöm a választ, kipróbáltam és a parancs suhan időn és korlátokon túl megszüntetve azokat.
Közben rábukkantam én is a megoldásra.
https://www.linuxfordevices.com/tutorials/linux/sudo-nopasswd
SENKI NE CSINÁLJA!
Beküldte csuhas32 -
Értékelés:
Ügyes vagy, de részemről a figyelmeztetés a többi olvasó részére marad: Nagy és felesleges biztonsági rést nyit a rendszeren, szerintem
SENKI NE CSINÁLJA!
SENKI NE CSINÁLJA! SENKI NE CSINÁLJA!
Beküldte najan -
Értékelés:
Szerinted. És mivel támasztod alá a véleményedet?
És az időkorlát nyitogatása nem nyit rést?
SENKI NE CSINÁLJA!
Beküldte csuhas32 -
Értékelés:
Fordítva ülünk a lovon. Nem nekem kell indokolnom.
Te mivel támasztod alá, hogy a rendszer egyik fő biztonsági protokolját kikapcsolod és szerinted ez nem veszélyes, nem hordoz magában komoly kockázatot?
SENKI NE CSINÁLJA! SENKI NE CSINÁLJA!
Beküldte csuhas32 -
Értékelés:
"És az időkorlát nyitogatása nem nyit rést?"
Szerintem nem. Ahhoz hogy bármekkora időre rendszergazdai jogot szerezzen meg kell adnia a rendszergazdai jelszót akár sudo-s, akár külön root felhasználós rendszert használ.
Hogy az így szerzett engedély 15 percre, 1 órára vagy egészen a munkamenet végéig tart, nem bír nagy jelentőséggel, a lényeg, hogy a jelszót valamikor meg kell adni.
Ez kívülről jövő támadásnál is fontos, de ha autologinra állítom a fiókod és még ez az elkefélt sudoers is van a rendszereden, akkor a gépedet bekapcsolva, jelszó nélkül bárki, bármit csinálhat a rendszereden. Nekem ez sehogy sem tetszik.
SENKI NE CSINÁLJA! SENKI NE CSINÁLJA!
Beküldte najan -
Értékelés:
Ki az a bárki? Egy felhasználója van a gépnek, és ez konkrétan én lennék.
SENKI NE CSINÁLJA!
Beküldte csuhas32 -
Értékelés:
Ezt én már kitárgyaltam auroraval is. https://linuxmint.hu/comment/65609#comment-65609
Nagyon hasonló a meglátásotok az érvelésetek de még a stílusotok is.
OFF
(Az ember maga a stílus! Csak nem?!
Láttuk őt itt már párszor újjászületni, így még ezt se zárnám ki teljesen.)
De mindegy is. Ugyanaz a téves gondolat más fejében is ugyanúgy megszülethet.
ON
Ha te akarod, hát csináld a saját rendszereden, de másoknak ilyen (szerintem) ökörséget ne ajánlgass, mert fogalmad sincs róla, hogy más a rendszerét milyen körülmények között és felhasználói felkészültség mellett használja, az övét feleslegesen ne sodord veszélybe!
Alapvetően úgy van kitalálva, hogy a Mintet az egyszerű emberek sudo-val használják, az emelt jogot kérő alkalmazások jelszót kérnek az indításukkor vagy kényes művelet elvégzése előtt, a terminál jelszót kér az első sudo után, ami néhány percre ad jogot. Alapból ilyen sudo-s parancsokat is szoktunk javasolni.
És ez így van jól. Ritkán használja a terminált, pláne adminisztrálásra, kiadja a parancsot, a rendszer bekéri a jelszavát, a folyamat lefut, de aztán ha el is feledkezik magáról és nyitva marad a terminálablak, az időkorlát pár perc múlva lejár, a jelszó nélkül nem lehet változtatni a rendszer lényeges részein. Ez így tökéletes a kevésbé felkészülteknek, védi őket a tudtuk nélkül.
Persze aki haladóbb, az használhat sudo su -t és akkor nincs időkorlát, csak egyszer adja meg a jelszót, de ő nyilván tudja, hogy ezt követően olyan környezetben nem hagyja magára a gépet, kilép egy exit-tel előtte ebből a jogosultságból, sőt talán még a képernyőt is zárolja, mielőtt ellépne a géptől.
Engedelmeddel ennél jobban nem mélyednék bele újra.
Én tartom: SENKI NE CSINÁLJON ILYET!
Aztán majd az emberek eldöntik, kire hallgatnak.
Kérnék egy moderátort!
Beküldte csuhas32 -
Értékelés:
„A moderáció
Az oldal moderációs alapelve, hogy törlünk minden olyan bejegyzést és hozzászólást, amely:
...
Az én megítélésem szerint ez így, a kockázatra figyelmeztető megjegyzés nélkül, már mindenképp ide tartozik, de lehet, hogy tévesen látom.
Köszönöm!
SENKI NE CSINÁLJA! SENKI NE CSINÁLJA!
Beküldte kami911 -
Értékelés:
Én rendszerbiztonsági megközelítéssel ezzel támasztanám alá:
https://en.m.wikipedia.org/wiki/Principle_of_least_privilege