Làm thế nào để cấu hình đúng tập tin sudoers, trên debian wheezy?

Tôi đã thấy nhiều bài viết trên blog nói rằng, nó là đủ để làm

aptitude install sudo
su root
adduser USERNAME sudo

Nhưng điều đó chỉ bảo vệ aptitude, nói cách khác:

• aptitude install sendmailsẽ hỏi mật khẩu, bạn cần phải sudochạyaptitude

• apt-get install sendmailsẽ không hỏi mật khẩu, không sudocần đặc quyền

• Nếu bạn chỉnh sửa các tệp được bảo vệ, như các tệp trong etcđó sẽ không yêu cầu mật khẩu, không sudocần đặc quyền

• Bạn có thể chạy và dừng các dịch vụ như apache, nó sẽ không hỏi mật khẩu, không sudocần đặc quyền

Làm thế nào để khắc phục điều này? Đây là tập tin sudoers của tôi:

 This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:$

# Host alias specification

# User alias specification

# Cmnd alias specification

Đây là đầu ra của sudo -l:

Matching Defaults entries for root on this host:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User root may run the following commands on this host:
    (ALL : ALL) ALL
    (ALL : ALL) ALL

Bạn chưa thêm bất kỳ quy tắc sudo nào, vì vậy bạn không thể sử dụng sudo cho bất cứ điều gì.

Lệnh adduser USERNAME sudothêm người dùng được chỉ định vào nhóm được gọi sudo. Một nhóm với tên đó phải tồn tại; tạo nó với addgroup sudonếu nó không. Sau khi thêm người dùng vào nhóm, người dùng phải đăng xuất và đăng nhập lại để thành viên nhóm có hiệu lực.

sudokhông phải là một tên nhóm đặc biệt. Đó là một quy ước để cho phép người dùng trong nhóm được gọi sudođể chạy các lệnh với quyền root thông qua sudotiện ích. Điều này đòi hỏi dòng sau trong sudoerstệp:

%sudo ALL = (ALL) ALL

Chạy visudođể chỉnh sửa tập tin sudoers, không bao giờ chỉnh sửa trực tiếp.

Tôi không biết tại sao bạn lại tin rằng, chỉ bảo vệ aptitude. Không có gì đặc biệt về năng khiếu. Một khi bạn đã cho phép người dùng để chạy các lệnh như là người chủ, người dùng có thể chạy sudo aptitude …hoặc sudo apt-get …hoặc sudo service …, hoặc sudoeditđể chỉnh sửa các file phải có văn bản gốc để chỉnh sửa. Nằm trong tệp sudoers không trực tiếp thay đổi các đặc quyền của người dùng của bạn, điều nó làm là nó cho phép bạn chạy sudođể chạy các lệnh dưới quyền root. Các lệnh chỉ chạy bằng root khi bạn chạy chúng sudo. Một số chương trình có thể tự động làm điều đó, đặc biệt là các chương trình GUI có giao diện người dùng chạy mà không có đặc quyền đặc biệt và chỉ có phụ trợ chạy dưới quyền root, nhưng các lệnh được thực thi dưới quyền root luôn được thực thi bởi sudo.

Điều có thể đã xảy ra là: sudo đang lưu mật khẩu của bạn. Vì vậy, sau khi bạn hoàn thành chính xác việc thực hiện sudo trên hệ thống của mình, bạn phải nhập mật khẩu cho lệnh đầu tiên và sau đó, nó được lưu trong bộ nhớ cache một thời gian. Nếu điều đó xảy ra và bạn chạy trình tự

sudo aptitude install sendmail
sudo apt-get install sendmail

Sau đó, bạn sẽ phải cung cấp mật khẩu cho lệnh đầu tiên, nhưng không phải trên lệnh thứ hai (ít nhất là trong khi bạn vẫn còn trong thời gian chờ). Điều này có thể cảm thấy như nó chỉ bảo vệ lệnh đầu tiên, nhưng không phải là lệnh thứ hai. Không có thêm thông tin (bảng điểm vỏ hoàn chỉnh), không có cách nào để nói ...

Nếu bạn làm theo câu trả lời trên, bạn đang đi đúng hướng. Ít nhất là trong Debian Jessie của tôi, tôi đã tạo một liên kết mềm đến / usr / bin của lệnh trong đường dẫn / sbin. Ví dụ: / sbin / ifup, tôi đặt một liên kết mềm (ln -s) đến / usr / bin của nó và tôi có thể sử dụng nó.

Một điều quan trọng khác là đặt NOPASSWD như thế này:

User_Alias NET = goviedo
Cmnd_Alias ETH = /sbin/ifup
NET ALL = NOPASSWD:ETH