Ero sivun ”Fedora Linux/Sudo” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
pEi muokkausyhteenvetoa
(Kumottu muokkaus 38521, jonka teki Tuju (keskustelu))
(9 välissä olevaa versiota 3 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Useissa [[Ubuntu]]un pohjautuvissa jakeluversioissa on tehty se ratkaisu, että erillistä [[root]]-käyttäjää ei enää oteta käyttöön, vaan jollekin tietylle käyttäjätunnukselle annetaan [[sudo]]n avulla pääkäyttäjän oikeudet. Tällöin esimerkiksi tämä käyttäjä voi päivittää järjestelmän komennolla <tt>sudo apt-get upgrade</tt> tarvitsematta vaihtaa erilliseksi pääkäyttäjäksi. [[Fedora]]ssa sudoa ei käytetä oletuksena, vaan root-käyttäjä on "perinteiseen tyyliin" erillinen.
Tässä artikkelissa annetaan ohjeet sudon käyttöönottoon kahdella eri asetuksella: Oletus tyyliin, eli niin, että sudo kysyy käyttäjän omaa salasanaa, sekä niin, että salasanaa ei kysytä ollenkaan. Sudon käyttöön liittyy joitakin tietoturvariskejä, jotka kannattaa ottaa huomioon ennen kuin sen ottaa käyttöön. Jos sudo asetetaan toimimaan niin, että se kysyy käyttäjän omaa salasanaa, niin onnistunut tunnistus pysyy voimassa tietyn ajan, jolloin salasanaa ei tarvitse syöttää uudestaan, jos sudoa käytetään samalla päätteellä. Jos salasanaa ei kysytä ollenkaan, niin kenellä tahansa koneelle jotenkin, etänä tai paikallisesti, pääsevällä on mahdollisuus suorittaa pääkäyttäjän oikeuksia vaativia komentoja.
Tässä artikkelissa annetaan ohjeet sudon käyttöönottoon kahdella eri asetuksella: Ubuntun tyyliin, eli niin, että sudo kysyy käyttäjän omaa salasanaa, sekä niin, että salasanaa ei kysytä ollenkaan. Sudon käyttöön liittyy joitakin tietoturvariskejä, jotka kannattaa ottaa huomioon ennen kuin sen ottaa käyttöön. Jos sudo asetetaan toimimaan niin, että se kysyy käyttäjän omaa salasanaa, niin onnistunut tunnistus pysyy voimassa tietyn ajan, jolloin salasanaa ei tarvitse syöttää uudestaan, jos sudoa käytetään samalla päätteellä. Jos salasanaa ei kysytä ollenkaan, silloin kenellä tahansa koneelle jotenkin, etänä tai paikallisesti, pääsevällä on mahdollisuus suorittaa pääkäyttäjän oikeuksia vaativia komentoja.


Sudon asetusten muokkaaminen tapahtuu hyvin samaan tapaan useissa muissakin Linux-jakeluissa, mutta tarkalleen esitetyn kaltaiset asetukset toimivat ilmeisesti lähinnä Fedorassa ja [[RHEL]]-sukuisissa jakeluissa, kuten [[CentOS]]issa.
Sudon asetusten muokkaaminen tapahtuu hyvin samaan tapaan useissa muissakin Linux-jakeluissa, mutta tarkalleen esitetyn kaltaiset asetukset toimivat ilmeisesti lähinnä Fedorassa ja [[RHEL]]-sukuisissa jakeluissa, kuten [[CentOS]]issa.
== Järjestelmänvalvojien ryhmään lisääminen ==
Kun Fedora käynnistetään ensimmäisen kerran luodaan muunmoassa käyttäjätunnus. Tämän käyttäjätunnuksen luonnin aikana voidaan lisätä käyttäjä järjestelmänvalvojien ryhmään, joka tarkoittaa sitä että käyttäjä voi käyttää sudoa antaen oman salasanansa rootin salasanan sijaan.
Jos ensimmäistä käyttäjää ei lisätty järjestelmänvalvojien ryhmään, käyttäjä voidaan lisätä siihen jälkikäteen komennolla:
$ su -
# usermod -aG wheel kayttajatunnus
Vaihtoehtoisesti käyttäjä on mahdollista lisätä järjestelmänvalvojien ryhmään graafisesti painamalla omaa nimeä oikeassa ylänurkassa, valitsemalla "Järjestelmän asetukset" ja sieltä "Käyttäjät". Avataan lukitus oikean ylänurkan painikkeella "avaa lukitus", kirjoitetaan rootin salasana, valitaan käyttäjä ja valitaan vetolaatikosta "Järjestelmänvalvoja".
Molemmilla tavoilla käyttäjän pitäisi kirjautua sisään uudelleen ennen kuin ryhmään lisääminen alkaa vaikuttaa.


== Sudon asetusten muuttaminen ==
== Sudon asetusten muuttaminen ==


Sudon asetusten muuttamiseen käytetään [[visudo]]-ohjelmaa, joka käyttää [[vi]]-editoria asetustiedoston muokkaamiseen. Vi toimii kovin eri tavalla verrattuna esimerkiksi tyypilliseen graafiseen editoriin, kuten [[gedit]], tässä artikkelissa annetaan vain sen verran tietoja, että sudon asetusten muuttamisen pitäisi onnistua.
Voit ohittaa tämän osion, jos et tahdo sudon sallivan komentojen suorittamista ilman salasanaa.
 
Sudon asetusten muuttamiseen käytetään [[visudo]]-ohjelmaa, joka käyttää [[vi]]-editoria asetustiedoston muokkaamiseen. Vi toimii kovin eri tavalla verrattuna esimerkiksi tyypilliseen graafiseen editoriin, kuten [[gedit]], tässä artikkelissa annetaan vain sen verran tietoja, että sudon asetusten muuttamisen pitäisi onnistua. Vin käytössä auttaa myös artikkeli [[Vimin peruskäyttö]].


Käynnistetään visudo root-käyttäjänä:
Käynnistetään visudo root-käyttäjänä:
  su --login -c 'visudo'
  $ su -
# visudo
Tällöin aukeaa ruutu, jossa näkyy ns. sudoers-tiedosto. Selaa tiedostoa ja etsi sieltä seuraavantapaiset rivit:
Tällöin aukeaa ruutu, jossa näkyy ns. sudoers-tiedosto. Selaa tiedostoa ja etsi sieltä seuraavantapaiset rivit:
  ## Allows people in group wheel to run all commands
  ## Allows people in group wheel to run all commands
  # %wheel        ALL=(ALL)      ALL
  %wheel        ALL=(ALL)      ALL
ja
ja
  ## Same thing without a password
  ## Same thing without a password
Rivi 19: Rivi 32:


Jos haluat sudon kysyvän peruskäyttäjän salasanaa ennen komennon suorittamista, tällöin on muokattava riviä
Jos haluat sudon kysyvän peruskäyttäjän salasanaa ennen komennon suorittamista, tällöin on muokattava riviä
  # %wheel        ALL=(ALL)      ALL
  %wheel        ALL=(ALL)      ALL
Jos haluat, että sudo ei kysy ollenkaan salasanaa, tällöin on muokattava riviä
Jos haluat, että sudo ei kysy ollenkaan salasanaa, tällöin on muokattava riviä
  # %wheel  ALL=(ALL)      NOPASSWD: ALL
  # %wheel  ALL=(ALL)      NOPASSWD: ALL


Vie kursori nuolinäppäimillä haluttua toimintatilaa vastaavan rivin alkuun ja paina kahdesti x-näppäintä. Tällöin visudo poistaa rivin alusta kaksi merkkiä, eli kommenttimerkin ja sen jälkeen tulevan välilyönnin.
Jos tahdot, ettei sudo kysy salasanaa, kommentoi ensimmäinen rivi siirtymällä sen alkuun ja lisäämällä #. Sen jälkeen siirry alemmalle toiselle riville ja paina kahdesti x-näppäintä. Tällöin visudo poistaa rivin alusta kaksi merkkiä, eli kommenttimerkin ja sen jälkeen tulevan välilyönnin.


Tämän jälkeen tallenna tiedosto ja poistu visudosta antamalla komento
Tämän jälkeen tallenna tiedosto ja poistu visudosta antamalla komento
  :wq
  :wq
== Oman käyttäjän lisääminen wheel-ryhmään ==
Tehdyllä muutoksella annettiin sudo-oikeudet wheel-[[ryhmä]]n jäsenille. Jotta sudo toimisi peruskäyttöön tarkoitetulla käyttäjätunnuksella, täytyy käyttäjätunnus lisätä wheel-ryhmään. Tämän voi tehdä komennolla
su -c 'gpasswd -a käyttäjätunnus wheel'
missä ''käyttäjätunnus'' on sen käyttäjän tunnus, jolle halutaan antaa sudo-oikeudet. Wheel-ryhmään voi kuulua useita käyttäjiä, tällöin yllä oleva komento on annettava jokaiselle tunnukselle erikseen.


== Testaaminen ==
== Testaaminen ==
Sudoa voi nyt testata antamalla komennon
Sudoa voi nyt testata antamalla komennon
  sudo whoami
  $ sudo whoami
Jos komento tulostaa "root", niin silloin sudo toimii.
Jos komento tulostaa "root", niin silloin sudo toimii.


== Lähteet ==
== Lähteet ==
Tämä artikkeli perustuu [http://fedorasolved.org/post-install-solutions/sudo Fedorasolved.org-sivuston sudo-artikkeliin].
Tämä artikkeli perustuu [http://fedorasolved.org/post-install-solutions/sudo Fedorasolved.org-sivuston sudo-artikkeliin].
[[Luokka:Fedora]]
[[Luokka:Tietoturva]]

Versio 18. lokakuuta 2013 kello 14.22

Tässä artikkelissa annetaan ohjeet sudon käyttöönottoon kahdella eri asetuksella: Oletus tyyliin, eli niin, että sudo kysyy käyttäjän omaa salasanaa, sekä niin, että salasanaa ei kysytä ollenkaan. Sudon käyttöön liittyy joitakin tietoturvariskejä, jotka kannattaa ottaa huomioon ennen kuin sen ottaa käyttöön. Jos sudo asetetaan toimimaan niin, että se kysyy käyttäjän omaa salasanaa, niin onnistunut tunnistus pysyy voimassa tietyn ajan, jolloin salasanaa ei tarvitse syöttää uudestaan, jos sudoa käytetään samalla päätteellä. Jos salasanaa ei kysytä ollenkaan, niin kenellä tahansa koneelle jotenkin, etänä tai paikallisesti, pääsevällä on mahdollisuus suorittaa pääkäyttäjän oikeuksia vaativia komentoja.

Sudon asetusten muokkaaminen tapahtuu hyvin samaan tapaan useissa muissakin Linux-jakeluissa, mutta tarkalleen esitetyn kaltaiset asetukset toimivat ilmeisesti lähinnä Fedorassa ja RHEL-sukuisissa jakeluissa, kuten CentOSissa.

Järjestelmänvalvojien ryhmään lisääminen

Kun Fedora käynnistetään ensimmäisen kerran luodaan muunmoassa käyttäjätunnus. Tämän käyttäjätunnuksen luonnin aikana voidaan lisätä käyttäjä järjestelmänvalvojien ryhmään, joka tarkoittaa sitä että käyttäjä voi käyttää sudoa antaen oman salasanansa rootin salasanan sijaan.

Jos ensimmäistä käyttäjää ei lisätty järjestelmänvalvojien ryhmään, käyttäjä voidaan lisätä siihen jälkikäteen komennolla:

$ su -
# usermod -aG wheel kayttajatunnus

Vaihtoehtoisesti käyttäjä on mahdollista lisätä järjestelmänvalvojien ryhmään graafisesti painamalla omaa nimeä oikeassa ylänurkassa, valitsemalla "Järjestelmän asetukset" ja sieltä "Käyttäjät". Avataan lukitus oikean ylänurkan painikkeella "avaa lukitus", kirjoitetaan rootin salasana, valitaan käyttäjä ja valitaan vetolaatikosta "Järjestelmänvalvoja".

Molemmilla tavoilla käyttäjän pitäisi kirjautua sisään uudelleen ennen kuin ryhmään lisääminen alkaa vaikuttaa.

Sudon asetusten muuttaminen

Voit ohittaa tämän osion, jos et tahdo sudon sallivan komentojen suorittamista ilman salasanaa.

Sudon asetusten muuttamiseen käytetään visudo-ohjelmaa, joka käyttää vi-editoria asetustiedoston muokkaamiseen. Vi toimii kovin eri tavalla verrattuna esimerkiksi tyypilliseen graafiseen editoriin, kuten gedit, tässä artikkelissa annetaan vain sen verran tietoja, että sudon asetusten muuttamisen pitäisi onnistua. Vin käytössä auttaa myös artikkeli Vimin peruskäyttö.

Käynnistetään visudo root-käyttäjänä:

$ su -
# visudo

Tällöin aukeaa ruutu, jossa näkyy ns. sudoers-tiedosto. Selaa tiedostoa ja etsi sieltä seuraavantapaiset rivit:

## Allows people in group wheel to run all commands
%wheel        ALL=(ALL)       ALL

ja

## Same thing without a password
# %wheel  ALL=(ALL)       NOPASSWD: ALL

Jos haluat sudon kysyvän peruskäyttäjän salasanaa ennen komennon suorittamista, tällöin on muokattava riviä

%wheel        ALL=(ALL)       ALL

Jos haluat, että sudo ei kysy ollenkaan salasanaa, tällöin on muokattava riviä

# %wheel  ALL=(ALL)       NOPASSWD: ALL

Jos tahdot, ettei sudo kysy salasanaa, kommentoi ensimmäinen rivi siirtymällä sen alkuun ja lisäämällä #. Sen jälkeen siirry alemmalle toiselle riville ja paina kahdesti x-näppäintä. Tällöin visudo poistaa rivin alusta kaksi merkkiä, eli kommenttimerkin ja sen jälkeen tulevan välilyönnin.

Tämän jälkeen tallenna tiedosto ja poistu visudosta antamalla komento

:wq

Testaaminen

Sudoa voi nyt testata antamalla komennon

$ sudo whoami

Jos komento tulostaa "root", niin silloin sudo toimii.

Lähteet

Tämä artikkeli perustuu Fedorasolved.org-sivuston sudo-artikkeliin.