Yleistä, visudo,
esimerkki sudon käytöstä,
Yleistä
Joskus tulee tarve antaa tavallisen käyttäjän suorittaa
ohjelmia, jotka todellisuudessa ovat pääkäyttäjän (root)
käytettävissä. Esimerkiksi olet juuri saanut isdn-yhteytesi
viritettyä toimivaksi ja haluat, että muillakin käyttäjillä
on mahdollisuus ottaa yhteyksiä. Lisäksi ei ole perusteltua
muutenkaan käyttää ohjelmia pääkäyttäjänä
jo tietoturvankaan takia.
Tähän ongelmaan on useita ratkaisuja: yksi ratkaisu on
tietenkin se, että annetaan näille ohjelmille tarpeeksi oikeuksia,
jotta nämä ohjelmat ovat useamman käyttäjän tavoitettavissa.
Tällöin pitäisi joko antaa kaikille oikeudet ajaa ohjelmia
tai luoda ryhmä, jolle tiedosto annettaisiin ja määrittää
ryhmään kuuluvat käyttäjät. Yksinkertaisempi ja
ilmeisesti turvallisempikin ratkaisu on käyttää sudo-ohjelmaa.
Jos sudo-ohjelma ei ole valmiina levityspaketissasi, sen löytää
verkosta. Ohjelman kotisivu on osoitteessa http://www.courtesan.com/sudo/
RedHatin käyttäjät löytävät RedHatin palvelimelta
ohjelman rpm-paketin, jos itse kääntäminen hirvittää.
visudo
Kun sudo-paketti on asennettu koneeseen, pitää aluksi
määritellä, kuka saa ja mitä ohjelmia käyttää. Pakettiin
kuuluu visudo-ohjelma, jolla saa tämän tehtyä.
Ohjelma käynnistetään komentamalla komentorivillä roottina
/usr/sbin/visudo
Ohjelma käyttää vi-editoria /etc/sudoers-tiedoston muokkaamiseen.
/etc/sudoers on tiedosto, jossa määritellään käyttäjät,
joilla on oikeus käyttää pääkäyttäjän
komentoja. Samoin siellä määritellään ohjelmat,
mitä nämä käyttäjät saavat käyttää.
Pari ohjetta vi-editoriin:
-
mene viimeiselle riville dokumentissa
-
paina pientä o-kirjainta. Näin pääset lisäämään
tekstiä tiedostoon viimeisen rivin alle
-
kun olet valmis, paina Esc-näppäintä ja näpäytä
kaksi kertaa Z:aa. Nyt tiedostosi on talletettu
-
tallettamatta pääsee pois seuraavalla merkkisarjalla: :q!
enter lopuksi
Yllä olevassa esimerkissä käyttäjä ile on saanut
oikeuden suorittaa neljää ohjelmaa (ifconfig, isdnctrl, route
sekä imon) Jos halutaan antaa useammalle käyttäjälle
oikeuksia samoihin ohjelmiin, voidaan pilkulla erotellen luetella tunnukset.
Nyt on määritelty oikeudet. Nyt voidaan käyttää
sudo-ohjelmaa hyväksi
Esimerkki sudon käytöstä
sudon käytön oppii parhaiten esimerkin avulla. Yllä on annettu
oikeudet isdn-yhteyden soita-skriptissä olevien pääkäyttäjän
ohjelmien käyttöön. Alla kuvassa skripti toteutettu sudon
avulla:
Eli jokaisen pääkäyttäjäohjelman eteen on kirjoitettu
sana sudo. Esimerkiksi rivi
on nyt muodossa
| sudo /sbin/ifconfig ippp0 up |
man-komennolla saa lisää tietoa sudon käytöstä.
Alkuun