sudo是一个命令行程序,允许受信任的用户在默认情况下以root用户的身份作为另一个用户运行命令。

本教程显示了两种向用户授予sudo特权的方法。第一个是将用户添加到 sudoers文件。该文件包含一组规则,这些规则确定使用sudo特权授予哪些用户或组,以及特权级别。第二个选项是将用户添加到sudoers文件中指定的sudo组中。默认情况下,在Debian及其衍生版本中,sudo组的成员被授予sudo访问权限。

将用户添加到sudo组

向用户授予sudo特权的最快捷方法是将用户添加到sudo组。该组的成员可以通过sudo以root用户身份执行任何命令,并在使用sudo时提示使用密码进行身份验证。

我们假设您要分配root组给已经存在的用户

以root或其他sudo用户身份运行以下命令以将该用户添加到sudo组中

usermod -aG sudo username

请确保将用户名username更改为您要授予访问权限的用户名。

在大多数情况下,使用此方法授予sudo访问权限就足够了。

要确保已将用户添加到该组,请键入:

sudo whoami

系统会要求您输入密码。如果用户具有sudo访问权限,该命令将显示“ root”。否则,您将收到一条错误消息,提示用户不在sudoers文件中user is not in the sudoers file。

将用户添加到sudoers文件中

/etc/sudoers文件中定义了用户和组的sudo特权。此文件使您可以授予对命令的自定义访问权限并设置自定义安全策略。

您可以通过编辑sudoers文件或在/etc/sudoers.d目录中创建新的配置文件来配置用户访问权限。该目录内的文件包含在sudoers文件中。

始终使用visudo命令来编辑/etc/sudoers文件。保存文件时,此命令检查文件是否存在语法错误。如果有任何错误,则不会保存文件。如果使用常规文本编辑器编辑文件,则语法错误可能会导致失去sudo访问权限。

visudo使用由EDITOR environment变量指定的编辑器,默认情况下将其设置为vim。如果要使用 nano 编辑文件,请通过运行以下命令更改变量:

EDITOR=nano visudo

假设您要允许用户运行sudo命令而无需输入密码。为此,请打开/etc/sudoers文件:

visudo

向下滚动到文件末尾并添加以下行:

/etc/sudoers

username  ALL=(ALL) NOPASSWD:ALL

保存文件,然后退出编辑器。不要忘记用您要授予访问权限的用户名更改用户名username。

另一个典型示例是允许用户通过 sudo 仅运行特定命令。例如,要仅允许 mkdir rmdir 命令,可以使用:

/etc/sudoers

username ALL=(ALL) NOPASSWD:/bin/mkdir,/bin/rmdir

除了编辑sudoers文件外,还可以通过在/etc/sudoers.d目录中使用授权规则创建一个新文件来实现相同目的。添加与添加到sudoers文件中相同的规则:

echo "username  ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/username

这种方法使得对sudo特权的管理更加可维护。文件名并不重要,但通常的做法是根据用户名命名文件。

结论

要向Debian中的用户授予sudo访问权限,只需将该用户添加到sudo组即可。

如果您有任何疑问,请随时发表评论。