настройки sudo (присвоить права root-а)

[ilyae]

Привет всем! Так вот, значит, товарищи. Я хочу создать на машине пользователя, права которого будут совпадать с правами root-а. Вот такая, значит, острая необходимость. Вчера мне посоветовали применить sudo для этой цели. Утилитку эту я поставил, значит, нарыл инфы о ней маленько, и по началу мне показалось это настолько просто, что я возрадовался и незамедлительно сказал огоромное спасибо коллеге с форума, но потом понял, что спросить-то на самом деле еще есть что. Подправил конфиг /etc/sudoers. Просто по аналогии с root-ом прямо под ним написал имя пользователя, которому хочу присвоить неограниченные права и повторил строку, которая идет за словом root. Выглядело это примерно так:
# User privilege specifucation
root ALL=(ALL) ALL
ilya ALL=(ALL) ALL
потом машину ребутнул, зашел под ilya, но права этого пользователя остались теми же, что и были. Может подскажет кто, чего там еще надо изменить, чтобы ilya все-таки стал обладать правами root-a.
Ну очень надо! Заранее благодарен всем откликнувшимся!

[Thug]

А включить юзера в группу root не катит?

[ilyae]

Братишка, я в этих группах ваще не разбирался никогда, не было надобности, подскажешь может, как это делать. Я слышал, что при создании юзера командой adduser когда поля заполняешь можно присвоить ему uid=0, тогда он мол юзер этот будет правами рута обладать. Попробовал, не вышло, пишет типа этот uid уже занят! А как добавить его в группу root и что это дает?!

[drakon]

1. при помощи sudo ты можещь запускать программы с правами рута: sudo программа.
Надеюсь, конфиг правил в visudo?
2. для добовления пользователя ilya в группу root делаем так:
adduser ilya root

[ilyae]

да, sudoer правил с помощью visudo, ощибок не выдал. А вот насчет adduser ilya root не выходит, пишет, что такой пользоватеь есть, говорит, чтобы лругое имя вводил, а если создавать нового пользователя например adduser oleg root, то когда потом логинишься под oleg, прав root-a он не имеет. Например ifconfig для него сommand not found и т.д., как и для остальных рядовых пользователей!

да, sudoer правил с помощью visudo, ощибок не выдал. А вот насчет adduser ilya root не выходит, пишет, что такой пользоватеь есть, говорит, чтобы лругое имя вводил, а если создавать нового пользователя например adduser oleg root, то когда потом логинишься под oleg, прав root-a он не имеет. Например ifconfig для него сommand not found и т.д., как и для остальных рядовых пользователей!

[Cap. J2A]

ilyae, в чём именно острая необходимость? Потому как это офигенная дыра. Правильная политика -- предоставлять минмум привилегий, необходимых для работы. ты же хочешь дать все привилегии. Создается впечатление, что ты не правильно ставишь задачу. Напр., исходишь из логики windows: завести пару пользователей-"администраторов". Так вот sudo позволяет давать очень аккуратно необходимые привилегии и не давать лишние. Однако при неумелом использовании sudo получается не просто дыра, а дырень в безопасности.

Thug, не дело говоришь.

[ilyae]

Рад слышать тебя, Сap.J2A, а то вот вчера не успел задать эти вопросы! Дело в том, что я решил попробовать просто не заморачиваясь присвоит права root-a этому юзеру. Мне нужно из под него потом управлять хостами вплоть до /etc/rc.d.rc.inet1 restart.
Во-первых я не могу разобраться, как прописать для этого переменные окружения, ладно еще до ккакого-нить ifconfig, а как здесь быть?! Да и вообще просто попробовал с sudo познакомиться, а она че-то не подхватила изменения конфига даже когда я юзеру ваще просто все права присвоил, не говоря уж о прописывании всяких там переменных окружения! Чувствую себя ламером из ламеров! Что я сделал неправильно?!

[bobrik]

По-моему ты не до конца понял смысл программы. sudo выполняет программу, если к ней обратится через него, а не просто так запустить программу.

[ilyae]

Это типа залогиниться под этим юзером, а потом, к примеру, не просто ifconfig, а sudo ifconfig. Да?! Я так и делаю, но реакция нулевая. comand not found и все тут. Мне кажется, что надо в конфиге еще че-то править! Только вот что!?

[zenwolf]

Это типа залогиниться под этим юзером, а потом, к примеру, не просто ifconfig, а sudo ifconfig. Да?! Я так и делаю, но реакция нулевая. comand not found и все тут. Мне кажется, что надо в конфиге еще че-то править! Только вот что!?

потому как /sbin у тебя в PATH для пользователя не прописан
попробуй
sudo /sbin/ifconfig

[bobrik]

А ты установил-то его??? Он не находит программу саму.

[ilyae]

Мужики, /sbin/ifconfig работает, только пароль запрашивает, а как сделать, чтобы без пароля работало и чтобы путь каждый раз не прописывать? Где и как все это надо прописать в конфиге?

[zenwolf]

чтоб путь не спрашивало указать /sbin в PATH в
/etc/profile или ~/.profile для юзера
пароль убирать нельзя- это парол рутовский

[ilyae]

Если без пароля сделать невозможно, тогда смысла всему этому ваще нет, потому как я эту команду у меня скрипт выполнять должен на удаленной машине слокальной и инфу эту в файл перенаправлять по ssh. т.е скрипт по ssh коннектится (обеспечен беспарольный доступ за счет предварительного обмена ключами) и с помощью команды ssh -a -x user@192.168.10.16 ifconfig > ~/res.eth
информация перекачивается на локальную машину. А если пароль никак не обойти, то скрипт просто эту команду отработать не сможет! Как же лучше поступить? Уверен, что решение проблемы есть, она стопудово не у меня первого в этой жизни всплыла!

[zenwolf]

значит заведи беспарольного юзера

[ilyae]

Ну все, разобрался вроде как! Работает с горем напополам, но надо будет уже в самом конфиге разбираться, как сделать этот список команд, чтобы в скрипте каждый раз переменные окружения для них не прописывать и ваще в синтаксисе написания прав конкретного пользователя. А то у меня все пока работает криво, т.к. права пользователя не ограничены! А надо, чтобы был набор только определенных команд, как сказал Cар. J2A. Если кто знает и не лень, скиньте пример конфига с описанием, завтра буду разбираться, лазить, искать. Тем самым совершите доброе дело, т.к. поможете запыхавшемуся коллеге! Всем принявшим участие в обсуждении огромное спасибо!!!!

[edoc_modnar]

Вообще-то чтобы оно пароль не запрашивало, надо добавить NOPASSWD: ALL, например так:

Код: Выделить всё

ilya  ALL=(ALL)       NOPASSWD: ALL

[ilyae]

Все, теперь уже окончательно разобрался, не люблю я недоделанных дел или плохо сделанных вообще, а тем более на завтра оставлять. Все работает прекрасно, прописал в конфиге sudoers все переменные окружения для конкретного юзера, который может выполнять только ряд команд. И не больше. Не выходя за рамки задачи, ничего лишнего ему не позволено. Благодарю еще раз всех участников,ОГРРРОМНОЕ спасибо за оказанную поддержку, выделенное время и внимание!

[serg_sk]

вообще-то в man sudo и в самом фале sudoers есть куча примеров.

[t.t]

Кстати, вся приведенная в ответах информация есть в man sudo либо man sudoers -- это так, на будущее

[serg_sk]

2t.t: плагиат