Su ja Sudo Programmi
Sisukord
Programmi käivitamine teise kasutaja õigustes
UNIXis on olemas üks ja ainus juurkasutaja ja põhimõtteliselt ei ole vaja püüda teistele kasutajatele temaga võrdseid õigusi anda. Kui tavakasutajal on vaja sooritada tegevusi, mida muidu ainult juurkasutaja või mõni teine tavakasutaja tohib, siis on selleks 2 programmi: Su ja Sudo.
Su kasutamine eeldab, et teatakse teise kasutaja parooli, mis tuleb käsurealt sisestada.
Sudo kasutamisel pole vaja paroole sisestada, kuid konfiguratsioonifailis tuleb näidata, millistel kasutajatel on millised õigused. Sudo kasutamine toob kaasa suurema riski, kuigi on kasutajale mugavam.
Su
Su võimaldab kasutajal käivitada programme teise kasutaja õigustes. '-' võtme kasutamisel käivitakse login koorik, mis näiteks tähendab, et satutakse kasutaja kodukataloogi.
Su süntaks on selline
su [ - ] [ kasutajanimi ] [ -c 'kask1; kask2' ]
Esitame näiteid:
Kasutaja käivitab kasutaja priit kooriku
bash~$ su - priit
Kasutaja kävitab kasutaja priit õigustes programmi
bash~$ su priit -c 'yes > /dev/null &'
mille saab ka ära tappa
bash~$ su priit -c 'killall yes'
Su kasutamisel peab arvestama, et tavakasutajalt küsitakse alati teise kasutaja parooli, kuid juurkasutajalt mitte.
Kui Su käivitamisel ei näidata ära kasutajanime, siis tähendab see, et soovitakse tegutseda juurkasutaja õigustes. Kui jäetakse näitamata käsk, siis käivitatakse kasutaja koorik.
Sudo
Sudo võimaldab vastavalt konfiguratsioonifailis kindlaksmääratud piirangutele kasutajal teise kasutaja õigustes programme käivitada. Tüüpiliselt on seda vaja andmaks tavakasutajaile võimalust muidu ainult juurkasutaja poolt käivitatavaid programme käivitada. Sudo võimaldab ka sellist asjakorraldust, et kasutaja saab käivitada teise kasutaja õigustes programmi ilma, et ta teise kasutaja parooli peaks sisestama.
Sudo konfiguratsioonifail
Mida keegi teha tohib, on kindlaks määratud faili /etc/sudoers sisuga, mille redigeerimiseks tuleb kasutada programmi visudo. Põhjusel, et visudo kontrollib seadistusfaili süntaktiliselt.
Kuivõrd Sudo kasutamise eelduseks on sobiv seadistusfail, siis vaatleme mõne lihtsa näite varal, milliseid olukordi saab tekitada.
Loome tingimused, kus kasutaja priit saab muuta kõigi kasutajate UNIXi ja Samba paroole, kusjuures temalt ei küsita eelnevalt parooli
root ALL=(ALL) ALL Cmnd_Alias AUTENTIMINE = /usr/bin/passwd,/usr/local/samba/bin/smbpasswd priit ALL=NOPASSWD: AUTENTIMINE
Aga selline sektsioon tagab kasutajatele priit ja mart pgpool programmi käivitamise õiguse kasutaja postgres õigustes
User_Alias PGPOOL_USERS = priit, mart Cmnd_Alias PGPOOL_CMD = /usr/local/pgpool2/bin/pgpool Host_Alias ARENDUS = www.tartu.loomaaed.ee PGPOOL_USERS ARENDUS = (postgres) NOPASSWD: PGPOOL_CMD
Kasutamine
Kui priidul on Sudo abil omistatud näidatud privileegid, siis saab ta neid kasutada näiteks selliselt, muutes kasutaja mart UNIXi parooli
$ sudo passwd mart
pgpool kasutamiseks ütleb kasutaja mart
$ sudo -u postgres /usr/local/pgpool2/bin/pgpool
Lisades võtme -H loetakse kodukataloogist punktifaile (vähemalt mingil määral, TODO)
$ sudo -H -u mart bash