Получение прав администратора. Утилиты sudo, visudo и sudoedit

Будучи Linux администратором, я всегда использовал и sudo , и su . И системному администратору очень важно, чтобы вы знали разницу между ними. Для тех, кто не имеет общего представления о разнице между этими двумя или всегда путает их - вот список из 12 Q&A (вопросов и ответов), которые направлены, чтобы помочь вам разобраться в тонкостях sudo и su.

ПРИМЕЧАНИЕ - Эта статья является специфичной только для Ubuntu. Хотя некоторые сведения могут быть применимы к большинству популярных дистрибутивов.

Sudo vs Su

Эта серия вопросов и ответов должна прояснить некоторые особенности sudo vs su для многих пользователей Ubuntu.

Q1 . Как используются sudo и su? В чем разница между ними?

Ответ .Sudo используется для запуска той или иной команды с разрешением корня. Интересно то, что когда вы используете sudo для определенной команды, система запросит у вас пароль текущего пользователя. После ввода пароля, команда запускается с привилегиями суперпользователя.

Вот пример:

$ apt-get install skype E: Could not open lock file /var/lib/dpkg/lock - open (13: Permission denied) E: Unable to lock the administration directory (/var/lib/dpkg/), are you root? $ sudo apt-get install skype password for mylinuxbook: Reading package lists... Done Building dependency tree Reading state information... Done ... ...

Как вы видите, сначала я попытался установить Skype, используя команду apt-get , но я получил permission denied error . Тогда я использовал sudo вместе с такой же системой команд и системой пароля для пользователя mylinuxbook. После ввода правильного пароля, команда выполнена успешно.

С другой стороны, su используется для переключения любого пользователя. Установленный пароль соответствующего пользователя включен. Если su используется без опций, происходит переход к корневой учетной записи пользователя. В этом случае, система запрашивает пароль суперпользователя.

Вот пример:

$ su mylinuxbook Password: mylinuxbook@mylinuxbook-Inspiron-1525:~$

В приведенном выше примере, я использовал su для переключения на учетную запись пользователя mylinuxbook и после ввода пароля для mylinuxbook, я смог сделать это.

Вот еще один пример:

$ su Password: su: Authentication failure

В приведенном выше примере, я выполнил на su, чтобы включить кореневые права аккаунт обычному пользователю, но он не мог, потому что у меня ненастроен пароль суперпользователя. В дистрибутивах, таких как Ubuntu, пароли для суперпользователя не настроены по умолчанию. Как только его настроят, вы сможете использовать этот пароль.

Q2 . Что делать, если я не хочу настраивать пароль администратора в моей Ubuntu, но все же ​​хочу переключиться на суперпользователя?

Ответ. В этом случае вы можете попробовать команду "sudo su ". Вот пример:

$ sudo su password for mylinuxbook: root@mylinuxbook-Inspiron-1525:/home/mylinuxbook#

Как только sudo был использован для запуска su, система запрашивает на ввод пароль текущего пользователя, а не пароль суперпользователя. Как только это было введено, текущий аакаунт был переведен в учетную запись.

Q3. Что делать, если я хочу использовать su для перехода к другим учетным записям пользователей, но не хочу помнить каждого и каждый пароль пользователя?

Ответ . Ну, в таком случае, просто используйте команду su, введите пароль администратора и переключитесь на учетную запись. Отсюда, использовав su, можно переключиться на любую учетную запись пользователя без использования паролей.

Q4. Если sudo используется, чтобы выполнить что-то с привилегиями суперпользователя, тогда почему нужен пароль текущего пользователя, а не пароль суперпользователя?

Ответ. Ну, это н есовсем то, чтобы любой нормальный пользователь может сделать sudo и выполнять команды, которые требуют привилегий суперпользователя. Вы, как пользователь, должны быть sudoer тоже. Это означает, что вы должны иметь привилегии для использования sudo. Если вы являетесь действительным sudoer, система запрашивает пароль только для того чтобы убедиться, что вы понимаете, что вы делаете некоторые работы, которые требуют привилегий суперпользователя, и вы должны все перепроверить, прежде чем на самом деле сделать это.

Теперь возникает вопрос о sudoers. Как стать пользователем sudoer ? Пользователь может стать sudoer, если его добавили в группу sudo. Вот пример:

$ sudo adduser sudo

Просто замените фактическим именем пользователя для учетной записи. Обратите внимание, что ранее (до Ubuntu 12.04) группа должна была называться admin , но сейчас это не обязательно.

Вы можете использовать команду "group ", чтобы проверить все группы, в которых есть этот пользователь. Вот пример:

$ groups mylinuxbook mylinuxbook: mylinuxbook adm cdrom sudo dip plugdev lpadmin sambashare

Таким образом, вы видите, что пользователь "mylinuxbook " входит в состав всех этих групп, включая группы sudo, и, следовательно, sudoer.

Q5. Я заметил, что как только я использовал sudo, у меня длительное время сохраняются кореневые права, хотя через некоторое время все приходит в норму. Что это?

Ответ . Ubuntu помнит пароль для sudo около 15 минут. Это означает, что как только вы использовали sudo для выполнения команды, система не будет запрашивать пароль, если вы запускаете другие команды, которые требуют привилегий суперпользователя для запуска. Хотя вам придется использовать "sudo " перед каждой командой.

Q6. Какие преимущества sudo над su?

Ответ. Sudo имеет много преимуществ по сравнению с su.

Вот список:

Q7. Любой пользователь может выполнять операции sudo?

Ответ. Нет, только доверенные пользователи или sudoers могут выполнять операции sudo. Вот официальная страница , которая описывает, как и что может делать пользователь-sudoer.

Q8. Я интересуюсь su. Как я могу настроить использование su таким образом, чтобы достичь функциональность, аналогичную suda?

Ответ . Если вы работаете с su, это означает, что у вас уже есть настроенный пароль суперпользователя. Для достижения функциональности, аналогичной sudo, т.е. для запуска только одной команды с привилегиями суперпользователя использованием su, все что вам нужно использовать опцию -c от команды su.

Вот пример:

$ su -c "apt-get install skype" Password:

Просто введите пароль, и только эта команда будет работать с привилегиями суперпользователя. Хотя это так же, как sudo, но с той лишь разницей, что вам нужно ввести пароль суперпользователя вместо пароля текущего пользователя.

Q9. Я работаю с sudо. Как я могу настроить использование sudo таким образом, чтобы достичь своей функциональности аналогичное su?

Ответ. Для достижения функциональности su через sudo, попробуйте опцию -i команды sudo.

Вот пример:

$ sudo -i password for mylinuxbook: root@mylinuxbook-Inspiron-1525:~#

Вы видите, что с помощью "sudo -i ", был выполнен переход на корневую учетную запись, хотя пароль, введенный для текущего пользователя (mylinuxbook в данном случае).

Q10. Кореневой пароль моей учетной записи еще не активирован. Могу ли я использовать sudo, чтобы активировать пароль суперпользователя?

Ответ. Для активации пароля для суперпользователя, вы можете использовать команду passwd следующим образом:

$ sudo passwd root

Эта команда требует права суперпользователя, так что вам придется использовать sudo.

Q12. Могу ли я использовать sudo, чтобы предоставить особые права пользователям?

Ответ. Конфигурационный файл для sudo - /etc/sudoers . Его нельзя редактировать вручную с помощью редактора. Для этой цели рекомендуется использовать команду visudo .

Вот точная команда:

$sudo visudo

и вот что вы получите:

Эта команда откроет временный файл /etc/sudoers.tmp в нано редакторе для редактирования. Visudo убеждается, что нет никакого конфликта, когда несколько экземпляров одного файла получается отредактировать.

Чтобы понять, как предоставить ограниченные права, понять дизайн этого файла конфигурации, .

Иногда для решения какой-либо задачи необходимо открыть терминал и выполнить команды от суперпользователя (sudo или su), называемый также ROOT. Хотя некоторые из них можно осуществить с помощью графического интерфейса.

Для чего в Unix системах нужен и используется Root, вы можете узнать из , а мы далее будем обсуждать, как применяется sudo или su в Linux системах.

Предположим, что нужно выполнить нестандартную задачу, где графические инструменты нам не помогут. К тому же командная строка является очень гибким инструментом, здесь можно увидеть вывод команд и понять, что происходит не так как нужно. А самое главное, команды в терминале являются стандартными для всех дистрибутивов Linux.

Итак, существует два основных способа получить права суперпользователя (Root) это - sudo или su

Команда sudo используется в Debian - подобных системах или более популярных Ubuntu, «su» используется почти во всех остальных дистрибутивах Linux.

Ввод sudo в операционной системе Ubuntu требует ввода пароля Root и далее после успешного ввода, дает права суперпользователя на время выполнения одной лишь команды. Перед всеми последующими командами, которые требуют прав Root в Debian - подобных системах, необходимо снова вводить «sudo». А в остальных дистрибутивах Linux, где используется команда «su», предоставляет полный доступ Root, после ввода пароля, пока вы не введете «logout» или не закроете терминал.

В Debian - подобных (Ubuntu) системах есть одна хитрость, которая может предоставить полный доступ к Root, пока вы не закроете терминал. Это нужно в том случае если вы будете выполнять много команд от имени Root, и вам не придется перед каждой командой вводить «sudo». Для этого скомандуйте:

Например, нам необходимо найти всех имеющихся пользователей в системе, увидеть их каталоги и присвоить права нужного каталога одного пользователя другому. Для этого если бы я использовал Ubuntu, то команда в терминале была бы следующей:

Sudo du -sch /home/*

После этого последовал бы пароль от Root:

16K /home/lost+found 27G /home/pavel 34G /home/pavelubuntu 50G /home/pavelzen 110G итого

Я знаю, что я являюсь пользователем каталога /home/pavelzen , но мне необходимо еще стать и владельцем каталога /home/pavelubuntu. Для этого мне вновь необходимо перед командой ввести «sudo».

А для других систем: сначала я скомандовал бы

пароль, а потом

Du -sch /home/*

Chown -R pavelzen: /home/pavelubuntu

Вот так в системах Linux проявляются терминалы и суперпользователи.

Разделение прав доступа – одна из наиболее важных парадигм безопасности, реализуемых в Linux и Unix-подобных операционных системах. Обычные пользователи работают с ограниченными правами; так сокращаются масштабы их влияния на их собственную среду и на операционную систему в целом.

Пользователь root имеет привилегии суперпользователя. Эта учетная запись администратора не имеет ограничений, которые присутствуют на учётных записях обычных пользователей. Другие пользователи могут выполнять команды с правами root в ряде отдельных случаев.

В данном руководстве показано, как правильно и безопасно для системы передавать права root.

Примечание : Данное руководство было выполнено на сервере Ubuntu 12.04, однако большинство современных дистрибутивов Linux будут вести себя аналогичным образом.

Для выполнения руководства нужно предварительно выполнить начальную настройку сервера:

Войдите на сервер как не-root пользователь.

Как получить права root

Есть три основных способа получить привилегии суперпользователя, которые варьируются по уровню сложности.

Вход как root

Проще всего, конечно, войти в систему как пользователь root.

При подключении через SSH укажите IP-адрес или имя хоста:

ssh root@IP_адрес_или_домен

По запросу введите root-пароль.

Команда su

Постоянно использовать учётную запись root не рекомендуется, поскольку, имея абсолютные права доступа, можно совершенно случайно нанести системе непоправимый вред.

Потому в системе существует команда su, позволяющая обычному пользователю получать root-права в любой момент.

Примечание : Команда su – это сокращение от substitute user.

Итак, чтобы получить root-права, просто введите:

Система запросит пароль root-пользователя, после чего откроет доступ к сессии оболочки root-пользователя.

Выполнив все задачи, требующие прав root, можно вернуться в предыдущую сессию:

Команда sudo

Последний способ получения привилегий root – команда sudo.

Команда sudo позволяет выполнять отдельные команды с правами root без необходимости открывать новую сессию.

sudo command_to_execute

Примечание : В отличие от su, команда sudo запрашивает не пароль root, а пароль пользователя, который вызывает команду.

Из соображений безопасности команда sudo недоступна по умолчанию, доступ к ней нужно настраивать. Если вы следовали руководству по начальной настройке сервера, вы уже знаете, как это делается.

Что такое Visudo?

Команда sudo настраивается при помощи файла /etc/sudoers.

Важно! Никогда не редактируйте этот файл при помощи обычного текстового редактора! Для этого следует использовать visudo.

Неправильный синтаксис, добавленный в этот файл, может полностью нарушить распределение прав между пользователями. Потому для работы с этим файлом используется команда visudo.

Команда visudo открывает файл в обычном текстовом редакторе, но во время сохранения файла проверяет его синтаксис. Это позволяет избежать ошибок в конфигурации.

Как правило, visudo открывает файл /etc/sudoers в редакторе vi. В системе Ubuntu visudo использует nano.

Чтобы настроить команду visudo для использования vi в системе Ubuntu, выполните команду:

sudo update-alternatives --config editor

There are 3 choices for the alternative editor (providing /usr/bin/editor).
Selection Path Priority Status
————————————————————
* 0 /bin/nano 40 auto mode
1 /bin/nano 40 manual mode
2 /usr/bin/vim.basic 30 manual mode
3 /usr/bin/vim.tiny 10 manual mode

Выберите число, соответствующее текстовому редактору, который вы хотите использовать.

В системе CentOS это значение можно изменить, добавив в ~/.bashrc строку:

export EDITOR=/path/to/editor

Чтобы обновить настройки, введите:

Чтобы открыть /etc/sudoers, введите:

Редактирование файла sudoers

Итак, в выбранном вами текстовом редакторе на экране откроется файл sudoers.

Ниже приведены параметры файла системы Ubuntu 12.04 (закомментированные строки опущены, а изменения, внесённые при начальной настройке сервера, сохранены).

Примечание : Файл sudoers системы CentOS гораздо более объёмен; некоторые его параметры в этом руководстве не описаны.

Defaults env_reset
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
root ALL=(ALL:ALL) ALL
demo ALL=(ALL:ALL) ALL
%admin ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL

Стандартные параметры

Первая строка, Defaults env_reset, сбрасывает терминальную среду, чтобы удалить все пользовательские переменные. Эта мера безопасности используется для устранения потенциально вредного воздействия переменных среды из сессии sudo.

Второй параметр, Defaults secure_path=…, задаёт путь (PATH, точки файловой системы, в которых ОС будет искать приложения) для операций sudo. Это предотвращает использование потенциально опасных пользовательских путей.

Параметры настройки прав пользователей

Третий и четвёртый параметр должны быть вам знакомы. Четвёртую строку вы добавили самостоятельно, но, возможно, не разбирали её подробно.

• demo ALL=(ALL:ALL) ALL
• Первое поле задаёт имя пользователя, к которому нужно применить данное правило (в данном случае это demo).
• Первое ALL значит, что правило будет применяться ко всем хостам.
• Второе ALL значит, что указанный пользователь может запускать команды в сессии любого пользователя.
• Третье ALL значит, что указанный пользователь может запускать команды в любой группе.
• Последнее ALL указывает, что эти правила нужно применять ко всем командам.

Это значит, что пользователи root и demo могут запускать все команды при помощи sudo, указав свой пароль.

Параметры привилегий групп

Последние две строки похожи на параметры привилегий пользователей, однако они отвечают за права групп.

Имена групп начинаются с символа %.

Как видите, группа admin может выполнять любую команду как любой пользователь или хост. Аналогичные права имеет группа sudo, однако она также может запускать команду как любая группа.

Пользовательские правила

Ознакомившись с базовым синтаксисом файла, попробуйте создать пару правил самостоятельно.

Создание алиасов

Файл sudoers можно более удобно структурировать при помощи различных алиасов (англ. – alias).

К примеру, можно создать три разные группы пользователей с совмещёнными правами:

User_Alias GROUPONE = abby, brent, carl
User_Alias GROUPTWO = brent, doris, eric,
User_Alias GROUPTHREE = doris, felicia, grant

Имена групп должны начинаться с большой буквы. После этого можно дать пользователям GROUPTWO право на изменение БД apt-get:

GROUPTWO ALL = /usr/bin/apt-get update

Если в правиле не указан пользователь и группа, по умолчанию sudo использует root.

Затем можно разрешить пользователям группы GROUPTHREE выключать и перезапускать машину; для этого нужно создать алиас команды:

Cmnd_Alias POWER = /sbin/shutdown, /sbin/halt, /sbin/reboot, /sbin/restart
GROUPTHREE ALL = POWER

Алиас команды POWER содержит команды для отключения и перезапуска машины.

Также можно создать алиас Run as, который заменяет часть правила, указывающую пользователя, в сессии которого нужно выполнить команду.

Runas_Alias WEB = www-data, apache
GROUPONE ALL = (WEB) ALL

Теперь любой пользователь группы GROUPONE может выполнять команды в сессиях пользователей www-data или apache.

Примечание : Помните, что созданные ранее правила имеют более высокий приоритет в случае конфликта правил.

Блокировка правил

Существует ряд способов контроля поведения и реакции sudo на вызов.

К примеру, команда updatedb в сочетании с пакетом mlocate относительно безвредна. Чтобы обычный пользователь мог выполнять её с привилегиями суперпользователя, не вводя пароль, можно создать такое правило:

GROUPONE ALL = NOPASSWD: /usr/bin/updatedb

Команда NOPASSWD значит, что система не будет запрашивать пароль. Также существует команда PASSWD, которая отвечает за противоположное поведение и используется по умолчанию.

NOPASSWD распространяется на всё правило, если команда PASSWD не отменяет его. Например, строка может выглядеть так:

GROUPTWO ALL = NOPASSWD: /usr/bin/updatedb, PASSWD: /bin/kill

Ещё одна удобная команда – NOEXEC, которая используется для предотвращения опасного поведения определенных программ. К примеру, некоторые команды, такие как less, могут вызывать другие команды:

Эта команда выполняет любую команду с привилегиями пользователя, запускающего less, а это может быть очень опасно.

Чтобы запретить такое поведение, можно использовать следующую строку:

username ALL = NOEXEC: /usr/bin/less

Дополнительные сведения

В данном разделе собраны различные полезные советы по работе с sudo.

Если вы указали пользователя или группу в параметре Run as, вы можете выполнять команды в сессии этого пользователя при помощи флагов -u и –g соответственно:

sudo -u run_as_user command
sudo -g run_as_group command

По умолчанию sudo сохраняет учётные данные в одном терминале на некоторое время. Это означает, что в течение этого периода вам не придется вводить пароль снова.

Если в целях безопасности вы хотите сбросить этот таймер, используйте команду:

Чтобы узнать права пользователя, введите:

Эта команда выведет все права, указанные в файле /etc/sudoers для данного пользователя.

Если обычный пользователь попытается запустить команду администратора без префикса sudo, команда не сработает. Чтобы избежать необходимости повторного ввода команды, используйте функцию bash, которая повторяет команду:

Двойной восклицательный знак повторит последнюю команду.

Заключение

Теперь у вас есть базовые навыки работы с файлом sudoers и правами root.

Работая с правами суперпользователя, помните о том, что обычные пользователи не обладают такими правами по умолчанию из соображений безопасности. Не злоупотребляйте правами root, иначе можно случайно нанести системе непоправимый ущерб.

Если вы периодически используете команду sudo, я уверен, что вы заметили особенность ее работы, заключающуюся в том, что после успешного ввода пароля вы можете использовать sudo еще несколько раз вообще без ввода пароля. Но по истечении некоторого времени команда sudo снова начинает запрашивать ввод пароля.

Это поведение никак не связано с количеством исполненных посредством sudo команд, но связано с временем. Да, по умолчанию sudo не будет запрашивать ввод пароля в течение 15 минут после его успешной проверки. По истечении этих 15 минут sudo снова попросит ввести пароль.

Однако, при желании вы можете изменить описанное поведение. Для этого следует открыть файл конфигурации /etc/sudoers с помощью следующей команды:

Sudo visudo

После этого нужно перейти к строке

Defaults env_reset

и добавить в конец этой строки следующую переменную с новым значением (выделено жирным шрифтом):

Defaults env_reset,timestamp_timeout=[новое значение]

Поле "[новое значение]" должно быть заменено на количество минут, в течение которых должна существовать ваша сессия sudo. К примеру, я использовал значение 40.

Если вы хотите, чтобы запрос пароля осуществлялся при каждом использовании команды sudo, вы можете установить значение 0 данной переменной. А если вам нужно, чтобы сессия sudo длилась вечно, вы можете установить значение -1 данной переменной.

Пожалуйста учтите, что использование значения -1 рассматриваемой переменной настоятельно не рекомендуется.

Пароль sudo

Как вы могли заметить, в процессе ввода пароля не отображается никаких символов, даже привычных звездочек. Хотя это и не является большой проблемой, некоторым пользователям по различным причинам хочется видеть хотя бы звездочки.

К счастью, соответствующий режим ввода пароля достаточно просто активировать. Все, что вам нужно сделать - это изменить следующую строку в файле /etc/sudoers:

Defaults env_reset

на строку

Defaults env_reset,pwfeedback

Теперь при вводе пароля в процессе работы с утилитой sudo будут отображаться звездочки.

Некоторые важные параметры команды sudo

Помимо параметра -u (который мы обсуждали в начале данной статьи) существует несколько других важных параметров команды sudo, которые достойны упоминания. Мы обсудим некоторые из них в данном разделе.

Параметр -k

Предположим, что вы только что выполнили команду посредством sudo и ввели свой пароль. Как вы знаете, по умолчанию sudo не будет спрашивать пароль в течение следующих 15 минут. А теперь предположим, что вам понадобилось предоставить кому-либо доступ к своему терминалу без возможности использования sudo. Что можно предпринять в этом случае?

К счастью, существует параметр -k , позволяющий принудительно завершить сессию sudo. А вот что написано о данном параметре на странице руководства sudo:

-k, --reset-timestamp

При использовании без команды позволяет сбросить кэшированные параметры пользователя. Другими словами, при следующем вызове sudo будет запрашиваться пароль. Данный параметр не требует ввода пароля и был добавлен специально для того, чтобы у пользователей имелась возможность убрать информацию о правах доступа sudo из файла.logout .

При использовании вместе с командой или требующим пароля параметром может потребоваться ввод пароля, так как в результате использования данного параметра кэшированная информация о правах доступа sudo игнорируется. В результате sudo снова предложит ввести пароль (в том случае, если это требуется политикой безопасности) и не будет обновлять кэшированную информацию о правах доступа.

Параметр -s

Может случиться так, что в процессе работы вам потребуется выполнить множество команд, требующих привилегий пользователя root, и вам не захочется вводить префикс sudo перед каждой из них. Также вам не захочется настраивать длительность сессии sudo путем редактирования файла конфигурации /etc/sudoers .

В этом случае вам может пригодиться параметр -s . Это описание данного параметра со страницы руководства sudo:

-s, --shell

Запустить командную оболочку, путь к бинарному файлу которой задан с помощью переменной окружения SHELL , если таковая существует, или командную оболочку, путь к бинарному файлу которой задан в параметрах учетной записи вызывающего пользователя. В случае использовании команды, она будет передана в эту командную оболочку для последующего исполнения посредством стандартного параметра -c . Если команды не задано, пользователю будет предоставлен доступ к запущенной интерактивной командной оболочке.

Итак, данный параметр выполняет следующие действия:

1. Запускает новую командную оболочку, путь к бинарному файлу которой задан с помощью переменной окружения $SHELL . В том случае, если переменная окружения $SHELL имеет пустое значение, запускается командная оболочка, путь к бинарному файлу которой указан в строке с описанием параметров учетной записи текущего пользователя в файле /etc/passwd .
2. Если вы передаете команду вместе с параметром -s (например, исполняя команду sudo -s whoami), то исполняется следующая команда: sudo /bin/bash -c whoami .
3. Если вы не пытаетесь исполнить какую-либо свою команду (то есть, просто исполняете команду sudo -s), вы получаете доступ к интерактивной командной оболочке с привилегиями пользователя root.

Следует иметь в виду, что параметр -s предоставляет в ваше распоряжение командную оболочку с привилегиями пользователя root, но без окружения пользователя root - эта командная оболочка будет использовать ваш файл.bashrc . По сути, это означает, что, к примеру, при исполнении с помощью этой командной оболочки команды whoami будет выводиться ваше имя пользователя, а не root.

Параметр -i

Параметр -i похож на параметр -s , который мы только что обсуждали. Однако, между ними имеются некоторые отличия. Одно из ключевых отличий заключается в том, что параметр -i также предоставляет вам окружение пользователя root, поэтому ваш (пользовательский) файл.bashrc игнорируется. Это сравнимо с использованием учетной записи пользователя root без входа в систему под именем пользователя root. Кроме того, вам не придется вводить пароль пользователя root.

Важное замечание: помните о том, что существует также команда su , которая позволяет работать от лица других пользователей (по умолчанию вы становитесь пользователем root). Данная команда требует ввода пароля пользователя root. Для того, чтобы избежать необходимости ввода пароля этого пользователя, вы можете также использовать префикс sudo (то есть, команду sudo su); в этом случае вам придется ввести ваш пароль. Однако, команды su и sudo su имеют некоторые отличия; для того, чтобы разобраться с ними, а также ознакомиться со сравнением данных команд с командой sudo -i достаточно обратиться к обсуждению, доступному по данной ссылке .

Заключение

Я надеюсь, что вы хотя бы в общих чертах поняли принцип работы команды sudo, а также методику изменения ее стандартного поведения. Самостоятельно испытайте описанные модификации файла /etc/sudoers и ознакомьтесь с обсуждением (ссылка на которое приведена в предыдущем параграфе), если хотите узнать об этой команде немного больше.

Иногда, просто необходимо запустить команду от другого пользователя. И существует несколько способов, как это можно сделать. Я расскажу о них в своей статья «Запустить команду от другого пользователя в Unix/Linux».

Запустить команду от другого пользователя в Unix/Linux — способ 1

И так, можно использовать утилиту SUDO. Рассмотрим пример:

$ sudo -H -u Your_another_user -c "ping сайт"

Пояснения:

• -H YOUR_HOME: Задает HOME (Переменное окружение для хома конкретного юзера) и по умолчанию — это root.
• -u YOUR_USER: Задаем пользователя от которого будет выполнена команда.
• -c YOUR_COMMAND: Служит опцией для ввода команды.

Как-то так.

Запустить команду от другого пользователя в Unix/Linux — способ 2

Можно использовать утилиту SU. И сейчас приведу несколько примеров.

Логин в root юзера

Чтобы получить рута, выполните:

$ su - root

Запустить команду как root юзер

Вот пример команды:

# su - root -c "YOUR_COMMAND_HERE"

Su - -c "YOUR_COMMAND_HERE arg1"

Выполнить команду от другого пользователя с помощью su

И так, вот пример:

# su -c "/opt/solr/bin/solr create -c test_solr_core -n solrconfig.xml" -s /bin/sh solr Created new core "test_solr_core"

Рассмотрим другой пример:

$ su another_user -c "ping сайт"

$ su - YOUR_USER -c "YOUR_COMMAND_HERE"

• — — Будет имитировать логин указанного пользователя.
• -c — Служит для указания команды для выполнения (для указанного юзверя).

Как-то так.

Запустить команду от другого пользователя в Unix/Linux — способ 3

И так, можно использовать утилиту runuser. Команда runuser запускает оболочку с заменяющими идентификаторами пользователей и групп. Эта команда полезна только когда вы залогинены как пользователь root. Синтаксис выглядит следующим образом:

# runuser -l YOUR_USER -c "YOUR_COMMAND_HERE"

Как пример, я покажу следующую строку:

# runuser -l nginx -c "service nginx start"

PS: Для использования команды runuser пароль не требуется, и он должен запускаться только пользователем root.

Основные опции:

• -l: Создаст оболочку для входа в систему, используя файл runuser-l PAM вместо стандартного.
• -g: Указывает на основную группу.
• -G: Указывает на дополнительную группу.
• -c: Собственно, служит для указания команды.
• –session-command=COMMAND: Передает одну команду в оболочку с опцией «-c» и не создает новый сеанс.
• -m: Не сбрасывайте переменные среды (ENV).

Вот и все, тема «Запустить команду от другого пользователя в Unix/Linux» завершена.