Как запускать команды Sudo без пароля в Linux

Пошаговое руководство по настройке беспарольного доступа Sudo к определенным командам в Linux.

В Linux вы можете разрешить выполнение определенных команд без ввода пароля sudo, настроив соответствующим образом файл sudoers. Файл sudoers определяет, какие пользователи могут запускать определенные команды с правами администратора (используя sudo) и нужно ли им предоставлять пароль для этих команд. Чтобы выполнить определенные команды sudo без пароля, выполните действия, описанные в этом руководстве.

Введение

Один из моих клиентов использует сценарий в системе Ubuntu. Основная цель скрипта — проверять состояние конкретной службы через определенные промежутки времени (точно каждую минуту) и автоматически перезапускать ее, если она не запущена.

Однако для запуска службы требуются привилегии sudo, которые обычно запрашивают пароль. Клиент хочет избежать ввода пароля при каждом запуске сценария. Он хочет запустить службу с помощью sudo, но без пароля. Таким образом, сценарий может работать бесперебойно без какого-либо ручного вмешательства.

Если вы когда-либо оказывались в подобной ситуации, вы можете настроить доступ sudo без пароля к определенным командам и запускать эти конкретные команды без пароля sudo в Linux и Unix-подобных системах. операционные системы.

Если вы все еще не понимаете, взгляните на следующий пример.

sudo mkdir /ostechnix
[sudo] password for sk:

Запустите команду с правами sudo

Как вы можете видеть на скриншоте выше, мне нужно указать пароль sudo при создании каталога с именем ostechnix в корневой папке (/). Всякий раз, когда мы пытаемся выполнить команду с привилегиями sudo, мы должны ввести пароль. Однако я не хочу каждый раз предоставлять пароль sudo. Это то, что мы собираемся решить в этом руководстве.

Прежде чем мы углубимся в тему запуска команды sudo без пароля в Linux, важно сначала обсудить преимущества настройки аутентификации sudo без пароля для команд sudo и риски безопасности, связанные с этим.

Преимущества настройки доступа Sudo без пароля

Разрешение выполнения определенных команд без ввода пароля sudo может быть вопросом удобства и автоматизации в определенных случаях использования. Однако это сопряжено с потенциальными рисками для безопасности, и к ним следует подходить разумно. Вот несколько причин, по которым кто-то может настроить sudo на пропуск запроса пароля для определенных команд:

1. Автоматизация сценариев. В некоторых случаях у пользователей могут быть сценарии или автоматизированные процессы, которым необходимо запускать определенные команды с правами администратора. Благодаря разрешению этих конкретных команд без пароля процесс автоматизации становится более плавным и не требует ручного вмешательства.
2. Частые административные задачи. Для опытных пользователей или системных администраторов, которые часто выполняют определенные административные задачи, требующие sudo, обход запроса пароля для этих хорошо известных безопасных команд может сэкономить время и уменьшить разочарование.
3. Однопользовательские системы. В однопользовательских системах, где пользователь является единственным администратором, некоторые пользователи предпочитают избегать многократного ввода пароля для административных задач. Однако важно понимать, что даже в однопользовательских системах вредоносное ПО или неавторизованные пользователи все равно могут потенциально злоупотребить этой конфигурацией, если они получат доступ к учетной записи пользователя.
4. Ограниченные привилегии. В определенных сценариях вам может потребоваться предоставить пользователю ограниченные административные привилегии для определенных команд без предоставления полного неограниченного доступа к sudo. Это может быть полезно для делегирования определенных задач разным пользователям.

Проблемы безопасности

Хотя эти причины могут быть действительными в определенных обстоятельствах, существуют некоторые заметные проблемы безопасности:

1. Угроза безопасности. Разрешение выполнения привилегированных команд без пароля может привести к уязвимостям безопасности. Если злоумышленник получит доступ к учетной записи пользователя, он сможет выполнить эти команды с правами администратора, не зная пароля учетной записи.
2. Неправильная конфигурация. Неправильная настройка доступа к sudo без пароля может создать дыры в безопасности или даже заблокировать вас в вашей системе, если вы допустите ошибку в файле sudoers.
3. Перехват команд. Если злоумышленник может изменить сценарий или двоичный файл, который пользователь может выполнить с помощью sudo, он фактически получит root-доступ без запроса пароля.
4. Компрометация учетной записи. В многопользовательских системах, если учетная запись одного пользователя скомпрометирована, злоумышленник может использовать sudo без пароля для повышения привилегий.

Из-за этих рисков безопасности важно тщательно подумать, перевешивает ли удобство потенциальные опасности. Если вы решите включить sudo без пароля для определенных команд, убедитесь, что вы ограничиваете количество команд только необходимыми и поддерживаете безопасную конфигурацию системы. Всегда соблюдайте принцип минимальных привилегий и регулярно просматривайте файл sudoers, чтобы избежать ненужного раскрытия информации.

Отказ от ответственности: Эта информация предназначена исключительно для образовательных целей и требует особой осторожности при ее использовании. Метод может быть как полезным, так и вредным. Например, если пользователям предоставлено разрешение на выполнение команды «rm» без пароля sudo, они могут непреднамеренно или намеренно удалить важные файлы. Приведенные ниже команды предназначены исключительно для демонстрационных целей, и крайне важно ни при каких обстоятельствах не выполнять их в производственной системе. Если вы не уверены в последствиях, настоятельно рекомендуется выполнить это упражнение на виртуальной машине и использовать его как возможность понять основную концепцию. Вы были предупреждены.

Запуск определенных команд Sudo без пароля Sudo

Чтобы запустить определенные команды без пароля sudo в Linux, вы можете использовать директиву NOPASSWD в файле /etc/sudoers. файл. Эта директива позволяет указать список команд, которые можно запускать без запроса пароля.

Например, чтобы разрешить пользователю user1 запускать определенные команды без пароля, вы должны добавить следующую строку в файл /etc/sudoers:

user1 ALL=(root) NOPASSWD: /path/to/command1, /path/tocommand2

Вот еще несколько вещей, которые следует иметь в виду:

• Директива NOPASSWD применяется только к конкретным командам, которые вы перечисляете. Если вы попытаетесь запустить команду, которой нет в списке, вам все равно будет предложено ввести пароль.
• Директива NOPASSWD позволяет пользователям запускать команды от имени пользователя root. Это следует делать только в том случае, если вы уверены, что пользователи не будут злоупотреблять этой привилегией.

Давайте посмотрим пример.

Я хочу разрешить пользователю с именем "sk" выполнять команду "mkdir" без необходимости ввода пароля sudo.

Как я уже говорил: чтобы разрешить пользователю запускать определенную команду без пароля sudo, вам необходимо добавить эту конкретную команду в файл sudoers.

Отредактируйте файл sudoers, используя:

sudo visudo

Добавьте следующую строку в конец файла.

sk ALL=NOPASSWD:/bin/mkdir

Редактировать файл sudoers

Здесь sk — имя пользователя. Согласно приведенной выше строке, пользователь sk может запустить команду 'mkdir' с любого терминала без пароля sudo. Замените имя пользователя и путь к команде на свои.

Вы можете добавить дополнительные команды (например, usermod) со значениями, разделенными запятыми, как показано ниже.

sk ALL=NOPASSWD:/bin/mkdir,/bin/usermod

Сохраните и закройте файл.

Чтобы убедиться в отсутствии синтаксических ошибок в файле sudoers, выполните следующую команду:

sudo visudo -c

Если все в порядке, должно появиться сообщение типа "файл sudoers проанализирован нормально".

/etc/sudoers: parsed OK
/etc/sudoers.d/README: parsed OK
/etc/sudoers.d/zfs: parsed OK

Выйдите из системы (или перезагрузите ее). Теперь войдите в систему как обычный пользователь «sk» и попробуйте запустить эти команды с помощью sudo и посмотрите, что произойдет.

sudo mkdir /dir1

Запустите команду без пароля sudo в Linux

Видеть? Несмотря на то, что я выполнил команду 'mkdir' с привилегиями sudo, запроса пароля не было. С этого момента пользователю sk не нужно вводить пароль sudo при выполнении команды 'mkdir'.

При выполнении всех остальных команд, кроме команд, добавленных в файлы sudoers, вам будет предложено ввести пароль sudo.

Давайте проверим это, выполнив еще одну команду с помощью sudo.

sudo apt update

Запустите команду обновления apt

Видеть? Эта команда предлагает мне ввести пароль sudo.

Если вы не хотите, чтобы при запуске команды apt запрашивался пароль sudo, отредактируйте файл sudoers:

sudo visudo

Добавьте команду 'apt' в файл visudo, как показано ниже:

sk ALL=NOPASSWD: /bin/mkdir,/usr/bin/apt

Заметили ли вы, что путь к двоичному исполняемому файлу apt отличается от mkdir? Да, вы должны указать правильный путь к исполняемому файлу.

Чтобы найти путь к исполняемому файлу любой команды, например 'apt', вы можете использовать команды «который» или «whereis».

which apt
/usr/bin/apt

whereis apt
apt: /usr/bin/apt /usr/lib/apt /etc/apt /usr/share/man/man8/apt.8.gz

Как видите, исполняемый файл команды apt — /usr/bin/apt, поэтому я добавил точный путь в файл sudoers.

Как я уже упоминал, вы можете добавить любое количество команд со значениями, разделенными запятыми. Сохраните и закройте файл sudoers, как только закончите. Выйдите из системы и снова войдите в нее.

Теперь проверьте, можете ли вы запустить команду без использования пароля sudo:

sudo apt update

Запустите команду обновления apt без пароля sudo

Видеть? Команда apt не запросила у меня пароль sudo, хотя я выполнил ее с помощью sudo.

Вот еще один пример. Если вы хотите запустить конкретную службу, например apache2, добавьте следующую строку в файл sudoers.

sk ALL=NOPASSWD:/bin/mkdir,/usr/bin/apt,/bin systemctl restart apache2

Замените имя пользователя на свое. Теперь пользователь может запустить команду 'sudo systemctl restart apache2' без пароля sudo.

Выполнение определенных команд Sudo с вводом пароля Sudo или без него

В файле sudoers вы можете использовать директивы PASSWD и NOPASSWD, чтобы разрешить конкретному пользователю выполнять определенные действия. команды с вводом пароля или без него.

Для этого вам необходимо создать отдельные записи для каждой команды с разными настройками. Вот пример того, как это сделать:

Предположим, вы хотите разрешить пользователю «user2» запускать две команды (command1 и command2) с запросом пароля и одну команду (command3). ) без запроса пароля.

Откройте файл sudoers в режиме редактирования, используя visudo:

sudo visudo

Добавьте следующие строки в файл sudoers:

Command1 and Command2 require password prompt
user2    ALL=(ALL) PASSWD: /path/to/command1
user2    ALL=(ALL) PASSWD: /path/to/command2

Command3 does not require password prompt
user2    ALL=(ALL) NOPASSWD: /path/to/command3

Замените /path/to/command1, /path/to/command2 и /path/to/command3 фактическими путями к соответствующим команды, которые вы хотите разрешить. Также замените имена пользователей на свои.

Сохраните и закройте файл sudoers.

Благодаря этим записям в файле sudoers пользователю «user2» будет предложено ввести свой пароль при выполнении command1 или command2, но пароль запрашиваться не будет. при запуске command3.

Вы также можете использовать директивы PASSWD и NOPASSWD в одной строке файла sudoers. Это достигается за счет указания настроек для разных команд в одной строке. Однако важно быть осторожным с синтаксисом, чтобы убедиться в его правильности.

Вот пример того, как вы можете использовать обе директивы в одной строке:

user2    ALL=(ALL) PASSWD: /path/to/command1, PASSWD: /path/to/command2, NOPASSWD: /path/to/command3

В этом примере:

• command1 и command2 потребуют от пользователя «user2» ввода пароля при их выполнении.
• command3 не будет запрашивать пароль при выполнении пользователем «user2».

Опять же, при редактировании файла sudoers используйте visudo, чтобы предотвратить синтаксические ошибки и не поставить под угрозу безопасность вашей системы. Всегда дважды проверяйте конфигурацию и разумно используйте этот подход для команд, которые действительно требуют этих конкретных настроек.

Посмотрите на следующий пример.

Добавьте/измените следующую строку в файле sudoers.

sk ALL=NOPASSWD:/bin/mkdir,/bin/usermod, PASSWD:/usr/bin/apt

В этом случае пользователь sk может запускать команды 'mkdir' и 'usermod' без ввода пароля sudo. Однако он должен указать пароль sudo при запуске команды 'apt'.

Отключить доступ к Sudo без пароля

Чтобы снова включить запрос пароля sudo для определенных команд, вам необходимо удалить или закомментировать соответствующие строки в файле sudoers. Это восстановит поведение по умолчанию, запрашивая у пользователя пароль при выполнении указанных команд с помощью sudo. Вот как вы можете это сделать:

1. Откройте файл sudoers в режиме редактирования с помощью visudo:

sudo visudo

2. Найдите строки, которые предоставляют доступ sudo без пароля к определенным командам. Эти строки должны иметь директиву NOPASSWD.

3. Чтобы удалить доступ без пароля, просто удалите строки, содержащие определенные команды. Альтернативно вы можете закомментировать строки, поместив # в начале каждой строки.

Например, если предыдущая конфигурация выглядела так:

username   ALL=(ALL) NOPASSWD: /path/to/command1
username   ALL=(ALL) NOPASSWD: /path/to/command2

Вы можете либо удалить эти строки полностью, либо закомментировать их следующим образом:

username   ALL=(ALL) NOPASSWD: /path/to/command1
username   ALL=(ALL) NOPASSWD: /path/to/command2

Сохраните изменения и закройте файл sudoers.

4. Чтобы применить изменения, вам может потребоваться выйти из системы и снова войти в нее или начать новый сеанс терминала.

После выполнения этих шагов определенные команды снова потребуют от пользователя ввода пароля sudo для их выполнения с повышенными привилегиями.

Часто задаваемые вопросы

Вот несколько часто задаваемых вопросов о доступе к Sudo без пароля в Linux.

Вопрос: Что такое доступ к sudo без пароля в Linux?

О: Доступ к sudo без пароля позволяет определенным пользователям выполнять определенные команды с правами администратора (с использованием sudo) без запроса на ввод пароля.

Вопрос: Как настроить для пользователя доступ к sudo без пароля?

О: Чтобы разрешить пользователю доступ к sudo без пароля, вам необходимо отредактировать файл sudoers с помощью команды visudo и добавить соответствующую запись. Например:
имя пользователя ALL=(ALL) NOPASSWD: /path/to/command

Вопрос: Каковы преимущества доступа к sudo без пароля?

О: Пользователи могут выполнять привилегированные команды без необходимости многократного ввода пароля, что может быть полезно для автоматизированных задач или сценариев. Доступ к sudo без пароля облегчает автоматизацию административных задач.

Вопрос: Каковы риски безопасности, связанные с доступом к sudo без пароля?

А: 1. Несанкционированный доступ. Если злоумышленник получит доступ к учетной записи пользователя, он может злоупотребить привилегией sudo без пароля для выполнения потенциально вредоносных команд без необходимости пароля пользователя.
2. Перехват команд. Вредоносное программное обеспечение или неавторизованные пользователи могут изменять разрешенные команды и использовать повышенные привилегии в гнусных целях.

Вопрос: Когда мне следует использовать доступ к sudo без пароля?

О: Доступ к sudo без пароля следует использовать с осторожностью и только в определенных, четко определенных сценариях. Он лучше всего подходит для автоматизированных задач или сценариев, требующих повышенных привилегий и выполняемых в контролируемой и доверенной среде.

Вопрос: Как я могу минимизировать риски при использовании доступа к sudo без пароля?

А: 1. Ограничьте количество разрешенных команд. Укажите только основные команды, необходимые для выполнения задачи, что уменьшит потенциальную поверхность атаки.
2. Использовать определенных пользователей. Предоставляйте доступ к sudo без пароля только определенным доверенным пользователям, а не всем пользователям.
3. Регулярно проверяйте конфигурацию. Периодически проверяйте и обновляйте файл sudoers, чтобы гарантировать, что доступ остается необходимым и безопасным.

Вопрос: Можно ли ограничить доступ к sudo без пароля только определенными командами?

О: Да, вы можете предоставить доступ без пароля для определенных команд, указав полный путь к ним в записи файла sudoers. Обычно рекомендуется ограничить доступ без пароля только теми командами, которые безопасны и необходимы.

Вопрос: Что, если я допущу ошибку в файле sudoers?

О: Любые ошибки в файле sudoers потенциально могут лишить вас прав администратора. Всегда используйте visudo -c для проверки синтаксических ошибок перед сохранением изменений, чтобы предотвратить неправильные настройки.

Вопрос: Могу ли я использовать доступ к sudo без пароля в многопользовательской системе?

О: Хотя это и возможно, использование sudo-доступа без пароля в многопользовательской системе увеличивает риск безопасности. Тщательно оцените риски и максимально ограничьте сферу доступа.

Вопрос: Рекомендуется ли использовать доступ к sudo без пароля в производственной среде?

О: В производственной среде обычно не рекомендуется использовать доступ sudo без пароля из-за потенциальных угроз безопасности. Вместо этого следуйте принципу минимальных привилегий и запрашивайте пароли при выполнении привилегированных команд.

Вопрос: Как мне снова включить запрос пароля sudo для определенных команд?

О: Чтобы вернуть доступ к sudo без пароля для определенных команд, вам необходимо изменить файл sudoers:
1. Откройте файл sudoers с помощью visudo: >sudo visudo
2. Найдите строки с директивой NOPASSWD, которая предоставляет доступ к командам без пароля.
3. Удалите строки, содержащие определенные команды, или закомментируйте их, добавив # в начале каждой строки.
4. Сохраните изменения и закройте. файл sudoers.
5. Чтобы применить изменения, вам может потребоваться выйти из системы и снова войти в нее или начать новый сеанс терминала.
Удалив или закомментировав соответствующие строки, определенные команды снова потребуют от пользователя ввода пароля sudo при выполнении с повышенными привилегиями.

Заключение

В этом подробном руководстве описан процесс включения и отключения доступа к sudo без пароля для определенных команд в Linux. В нем объясняется, как предоставить определенным пользователям возможность запускать определенные команды с правами администратора, не требуя от них ввода пароля sudo.

Также были описаны шаги по отмене этого поведения и повторной аутентификации sudo для этих команд. Кроме того, в этой теме подчеркивается важность понимания преимуществ, рисков и лучших практик для обеспечения безопасной реализации при работе с доступом к sudo без пароля.

Подводя итог, директива NOPASSWD в файле /etc/sudoers позволяет вам указать список команд, которые можно запускать без запроса пароля. Это может быть полезно для того, чтобы позволить пользователям запускать определенные команды без пароля sudo. Однако важно использовать эту директиву с осторожностью, поскольку при неправильном использовании она может предоставить пользователям слишком много возможностей.

Вот несколько дополнительных полезных советов по использованию директивы NOPASSWD:

• Разрешайте пользователям запускать только те команды, которые им необходимы.
• Используйте директиву NOPASSWD с осторожностью.
• Следите за своей системой на предмет любых признаков неправильного использования.

Следуя этим советам, вы сможете использовать директиву NOPASSWD, чтобы безопасно и эффективно разрешить пользователям запускать определенные команды без пароля sudo.