Каков privlages, который я должен дать стандартной учетной записи пользователя?
Какой privliges я должен дать стандартной учетной записи? что я должен удалить? Пользователь, которого я изменяю, был исходной Основной администраторской учетной записью. Я создал вторую учетную запись, которая будет моим новым основным администратором, который будет добавлен ко всем группам.
Править: Я уже знаю, как изменить пользователя на стандарт, я задавался вопросом, в какие группы типичному пользователю нужно разрешить?
1 ответ
после добавляют, что пользователь для полномочия установки действительно ревет, гуид сначала устанавливают Вашего любимого редактора для открытого sudoconfiguration файла
sudo update-alternatives --config editor
после того, как фаворит установки edditor открывается, sudo конфигурация с sudo visudo находят строку с подобным этим содержанием # спецификация Полномочий пользователя и добавляют подобный demo ALL=(ALL:ALL) ALL, первое поле указывает на имя пользователя, к которому правило будет относиться (демонстрация).
демонстрация ВСЕ = (ALL:ALL) ВЕСЬ
первое "ВСЕ" указывает, что это правило относится ко всем хостам.
демонстрация ВЕСЬ = (ALL:ALL) ВЕСЬ
Эта "ALL" указывает, что демонстрационный пользователь может выполнить команды как все пользователи.
демонстрация ВСЕ = ( ВЕСЬ : ВСЕ) ВЕСЬ
Эта "ALL" указывает, что демонстрационный пользователь может выполнить команды как все группы.
демонстрация ВСЕ = (ВСЕ: ВЕСЬ ) ВЕСЬ
последняя "ALL" указывает, что эти правила относятся ко всем командам.
демонстрация ВСЕ = (ALL:ALL) ВЕСЬ
Имена, начинающиеся с "%", указывают на названия группы.
существует много способов, которыми можно достигнуть большего количества управления тем, как sudo реагирует на вызов.
команда updatedb, связанная с "mlocate" пакетом, относительно безопасна. Если мы хотим позволить пользователям выполнять его с полномочиями пользователя root, не имея необходимость вводить пароль, мы можем сделать правило как это:
GROUPONE ALL = NOPASSWD: /usr/bin/updatedb
NOPASSWD является "тегом", который означает, что никакой пароль не будут требовать. Это сделало, чтобы компаньон управлял названным PASSWD, который является поведением по умолчанию. Тег важен для остальной части правила, если не отвергнуто его "двойным" тегом позже по линии.
, Например, у нас может быть строка как это:
GROUPTWO ALL = NOPASSWD: /usr/bin/updatedb, PASSWD: /bin/kill
Другой полезный тег является "NOEXEC", который может использоваться для предотвращения некоторого опасного поведения в определенных программах.
, Например, некоторые программы, как "меньше", могут породить другие команды путем ввода этого из их интерфейса:
! command_to_run Это в основном выполняет любую команду пользователь, дает ее с теми же полномочиями, под которыми "меньше" работает, который может быть довольно опасным.
Для ограничения этого мы могли использовать строку как это:
username ALL = NOEXEC: /usr/bin/less
, Если Вы просто задаетесь вопросом, какие полномочия определяются для Вашего имени пользователя, можно ввести:
sudo -l