Visudo: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Asuviste (talk | contribs)
No edit summary
Asuviste (talk | contribs)
 
(90 intermediate revisions by the same user not shown)
Line 4: Line 4:


==Sissejuhatus==
==Sissejuhatus==
Visudo on programm, mida kasutatakse ''sudoers'' konfiguratsioonifaili muutmiseks. Visudo laseb ''sudoers'' faili muuta turvaliselt, ükshaaval ning kontrollides parsimisvigu.
''Visudo'' on programm, mida kasutatakse ''sudoers'' konfiguratsioonifaili muutmiseks. ''Visudo'' laseb ''sudoers'' faili muuta turvaliselt, ükshaaval ning kontrollides süntaksivigu.<ref name="visudomanual">[http://www.sudo.ws/man/1.8.13/visudo.man.html  visudo(1) - Linux manual page]</ref>


==Kasutamine==
==Kasutamine==
Visudot kasutatakse sudoers faili avamiseks, selleks, et muutda, lisada või eemaldada kasutajate õigusi. Sudoers fail asub /etc/sudoers kaustas. Visudo kontrollib, et muudetud faili süntaks oleks õige ja annab veateate, kui see pole. Kui kasutaja teeb vea, siis faili ei salvestata, vaid prinditakse välja rida/read, kus on tekkinud viga.
''Visudot'' kasutatakse ''sudoers'' faili avamiseks, selleks, et muutda, lisada või eemaldada kasutajate õigusi. ''Sudoers'' fail asub kaustas ''/etc/sudoers''. ''Visudo'' kontrollib, et muudetud faili süntaks oleks õige ja annab veateate, kui see pole. Kui kasutaja teeb vea, siis faili ei salvestata, vaid prinditakse välja rida/read, kus on tekkinud viga. ''Visudot'' saab ainult käivitada juurkasutaja õigustega.<ref name="linuxman">[http://linux.die.net/man/8/visudo visudo(2) - Linux manual page]</ref>
Visudot saab ainult käivitada juurkasutaja õigustega.  


===Käsu argumendid ===
===Käsu argumendid ===
-c, --check
Käsuga ''visudo'' avatakse ''sudoers'' fail muutmiseks
Enable check-only mode. The existing sudoers file will be checked for syntax errors, owner and mode. A message will be printed to the standard output describing the status of sudoers unless the -q option was specified. If the check completes successfully, visudo will exit with a value of 0. If an error is encountered, visudo will exit with a value of 1.
====Valikulised argumendid====
-f sudoers, --file=sudoers
'''-c, --check''' - Käivitab ainult kontrollimise režiimi. Olemasolevast ''sudoers'' failist kontrollitakse süntaksivigu, omanikku ja režiimi. Käsureale väljastatakse faili olek, juhul kui argumenti -q ei lisatud. Kui kontroll läbitakse positiivselt, siis ''visudo'' sulgetakse ja tagastatakse väärtus 0. Kui on leitud viga, siis tagastatakse väärtus 1.
Specify an alternate sudoers file location. With this option, visudo will edit (or check) the sudoers file of your choice, instead of the default, /etc/sudoers. The lock file used is the specified sudoers file with “.tmp” appended to it. In check-only mode only, the argument to -f may be ‘-’, indicating that sudoers will be read from the standard input.
 
-h, --help
'''-f sudoers, --file=sudoers'''
Display a short help message to the standard output and exit.
Laseb täpsutada teise ''sudoers'' faili asukoha, mis ei asu kaustas ''/etc/''. Sellega käsuga saab muuta või kontrollida kasutaja poolt etteantud asukohaga ''sudoers'' faili.
-q, --quiet
 
Enable quiet mode. In this mode details about syntax errors are not printed. This option is only useful when combined with the -c option.
'''-h, --help'''
-s, --strict
Kuvatakse lühike abi, kus on kirjas seletustega argumendid.
Enable strict checking of the sudoers file. If an alias is used before it is defined, visudo will consider this a parse error. Note that it is not possible to differentiate between an alias and a host name or user name that consists solely of uppercase letters, digits, and the underscore (‘_’) character.
 
-V, --version
'''-q, --quiet'''
Print the visudo and sudoers grammar versions and exit.
Käivitakse vaikne režiim. Selles režiimis ei kuvata kasutajale süntaksivigu. Antud parameer on ainult, siis kasutatav, kui see on kombineeritud argumendiga -c.
-x output_file, --export=output_file
Export a sudoers in JSON format and write it to output_file. If output_file is ‘-’, the exported sudoers policy will be written to the standard output. By default, /etc/sudoers (and any files it includes) will be exported. The -f option can be used to specify a different sudoers file to export. The exported format is intended to be easier for third-party applications to parse than the traditional sudoers format. The various values have explicit types which removes much of the ambiguity of the sudoers format.
'''-s, --strict'''
Käivitab range ''sudoers'' faili kontrollimise. Kui aliast on kasutatud enne, selle defineerimist, siis ''visudo'' peab seda parsimisveaks. Vahet ei tehta aliasel ja kasutajanimel, mis sisaldavad ainult suuri tähti või alakriipsu.
 
'''-V, --version'''
Prinditakse ''visudo'' versioon ja ''sudoers'' grammatika versioon.  
 
'''-x output_file, --export=output_file'''
Eksporditakse ''sudoers'' fail JSON formaadis ja kirjutatakse see väljundfaili. Kui väljundfail on määratlemata, siis eksporditakse fail standardväljundisse. Vaikimisi eksporditakse kaust ''/etc/sudoers''(ja kõik failid, mida sisaldab). Võtit '''-f''' kasutades, saab eksportida teises kohas määratletud ''sudoers'' faili.
<ref name="visudomanual"></ref>
 
===Näited===
 
====Näited ''sudoers'' faili kasutamisest====
 
'''Näide 1''' ''Sudo'' käsu ja juurkasutaja õiguste kasutamiseks tuleb kasutajale anda õigused: <ref name="sudoersmanual">[https://www.sudo.ws/man/sudoers.man.html sudoers(1) - Sudoers Manual]</ref>
 
<code>USER_NAME  ALL=(ALL) ALL</code>
 
'''Näide 2''' Selleks, et kasutaja saaks kasutada kõiki käske nagu iga teine kasutaja antud masinas: <ref name=sudoersmanual></ref>
 
<code>USER_NAME  HOST_NAME=(ALL) ALL</code>
 
'''Näide 3''' Selleks, et anda gruppile ratas ''sudo'' juurdepääs: <ref name="sudoersmanual"></ref>
 
<code>%ratas      ALL=(ALL) ALL</code>
 
'''Näide 4''' Kasutajalt parooli küsimise keelamine: <ref name="quickhow">[http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch09_:_Linux_Users_and_Sudo#.VnqZZuh97IU - QUICK HOWTO]</ref>
 
<code>Defaults:USER_NAME      !authenticate </code>
 
'''Näide 5''' Valitud kasutajatele juurdepääsu andmine konkreetsetele failidele: <ref name=quickhow></ref>
 
<code>USER_NAME %GROUP_NAME ALL= /sbin/</code>
 
'''Näide 6''' Käsule või failile juurdepääsu võimaldamine paroolita: <ref name=quickhow></ref>
 
<code>USER_NAME HOST_NAME = NOPASSWD: /bin/kill, /bin/ls /usr/bin/kaust</code>
 
'''Näide 7''' Käsule või failile juurdepääsu võimaldamine parooliga: <ref name=quickhow></ref>
 
<code>USER_NAME HOST_NAME PASSWD: /bin/ls, /usr/bin/</code>
 
====Pilt failist ''sudoers''====
 
[[File:Naidesudoers.png| left| frame | Joonis 1- Pilt failist ''sudoers'']]
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
 
== ''Visudo'' abi ==
 
man visudo
 
==Kokkuvõte==
''Visudo'' on hea ja turvaline viis muutmaks ''/etc/sudoers'' faili. Mulle meeldib visudo juures see, et kasutaja teeb faili muutmisel vea, siis sellest antakse teada, et kasutaja saaks oma vea ära parandada.
 
== Kasutatud materjal ==
<references />
 
 
 
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Latest revision as of 15:56, 23 December 2015

Autor

Eesti Infotehnoloogia Kolledž
Arti Suviste A21

Sissejuhatus

Visudo on programm, mida kasutatakse sudoers konfiguratsioonifaili muutmiseks. Visudo laseb sudoers faili muuta turvaliselt, ükshaaval ning kontrollides süntaksivigu.[1]

Kasutamine

Visudot kasutatakse sudoers faili avamiseks, selleks, et muutda, lisada või eemaldada kasutajate õigusi. Sudoers fail asub kaustas /etc/sudoers. Visudo kontrollib, et muudetud faili süntaks oleks õige ja annab veateate, kui see pole. Kui kasutaja teeb vea, siis faili ei salvestata, vaid prinditakse välja rida/read, kus on tekkinud viga. Visudot saab ainult käivitada juurkasutaja õigustega.[2]

Käsu argumendid

Käsuga visudo avatakse sudoers fail muutmiseks

Valikulised argumendid

-c, --check - Käivitab ainult kontrollimise režiimi. Olemasolevast sudoers failist kontrollitakse süntaksivigu, omanikku ja režiimi. Käsureale väljastatakse faili olek, juhul kui argumenti -q ei lisatud. Kui kontroll läbitakse positiivselt, siis visudo sulgetakse ja tagastatakse väärtus 0. Kui on leitud viga, siis tagastatakse väärtus 1.

-f sudoers, --file=sudoers Laseb täpsutada teise sudoers faili asukoha, mis ei asu kaustas /etc/. Sellega käsuga saab muuta või kontrollida kasutaja poolt etteantud asukohaga sudoers faili.

-h, --help Kuvatakse lühike abi, kus on kirjas seletustega argumendid.

-q, --quiet Käivitakse vaikne režiim. Selles režiimis ei kuvata kasutajale süntaksivigu. Antud parameer on ainult, siis kasutatav, kui see on kombineeritud argumendiga -c.

-s, --strict Käivitab range sudoers faili kontrollimise. Kui aliast on kasutatud enne, selle defineerimist, siis visudo peab seda parsimisveaks. Vahet ei tehta aliasel ja kasutajanimel, mis sisaldavad ainult suuri tähti või alakriipsu.

-V, --version Prinditakse visudo versioon ja sudoers grammatika versioon.

-x output_file, --export=output_file Eksporditakse sudoers fail JSON formaadis ja kirjutatakse see väljundfaili. Kui väljundfail on määratlemata, siis eksporditakse fail standardväljundisse. Vaikimisi eksporditakse kaust /etc/sudoers(ja kõik failid, mida sisaldab). Võtit -f kasutades, saab eksportida teises kohas määratletud sudoers faili. [1]

Näited

Näited sudoers faili kasutamisest

Näide 1 Sudo käsu ja juurkasutaja õiguste kasutamiseks tuleb kasutajale anda õigused: [3]

USER_NAME ALL=(ALL) ALL

Näide 2 Selleks, et kasutaja saaks kasutada kõiki käske nagu iga teine kasutaja antud masinas: [3]

USER_NAME HOST_NAME=(ALL) ALL

Näide 3 Selleks, et anda gruppile ratas sudo juurdepääs: [3]

%ratas ALL=(ALL) ALL

Näide 4 Kasutajalt parooli küsimise keelamine: [4]

Defaults:USER_NAME !authenticate

Näide 5 Valitud kasutajatele juurdepääsu andmine konkreetsetele failidele: [4]

USER_NAME %GROUP_NAME ALL= /sbin/

Näide 6 Käsule või failile juurdepääsu võimaldamine paroolita: [4]

USER_NAME HOST_NAME = NOPASSWD: /bin/kill, /bin/ls /usr/bin/kaust

Näide 7 Käsule või failile juurdepääsu võimaldamine parooliga: [4]

USER_NAME HOST_NAME PASSWD: /bin/ls, /usr/bin/

Pilt failist sudoers

Joonis 1- Pilt failist sudoers



































Visudo abi

man visudo

Kokkuvõte

Visudo on hea ja turvaline viis muutmaks /etc/sudoers faili. Mulle meeldib visudo juures see, et kasutaja teeb faili muutmisel vea, siis sellest antakse teada, et kasutaja saaks oma vea ära parandada.

Kasutatud materjal