Дефолты opensuse:
Я показываю вам дефолты в Рабочей станции К
[root@host-11 ~]# grep -v '^#\|^$' ./sudoers
User_Alias WHEEL_USERS = %wheel
User_Alias XGRP_USERS = %xgrp
Defaults:XGRP_USERS env_keep += "DISPLAY XAUTHORITY"
@includedir /etc/sudoers.d
[root@host-11 ~]#
Прошу прокомментировать.
Прикладываю файл /etc/sudoers по умолчанию в Рабочей станции К (пришлось переименовать).
Закомментированы строки правил запуска sudo-команд:
Строки с
WHEEL_USERS ...
SUDO_USERS ...
ALL ...
# WHEEL_USERS ALL=(ALL) ALL
...
## Uncomment to allow members of group sudo to execute any command
# SUDO_USERS ALL=(ALL) ALL
## Uncomment to allow any user to run sudo if they know the password
## of the user they are running the command as (root by default).
# Defaults targetpw # Ask for the password of the target user
# ALL ALL=(ALL) ALL # WARNING: only use this together with 'Defaults targetpw'
Если раскомментировать одну из строк
# WHEEL_USERS ALL=(ALL) ALL
# ALL ALL=(ALL) ALL # WARNING: only use this together with 'Defaults targetpw'
и раскомметировать строку
# Defaults targetpw # Ask for the password of the target user
то sudo в альте будет работать аналогично sudo в opensuse.
Т.е. на выполнении sudo-команд, будет запрашиваться пароль root.
Поскольку явно не указанный пользователь, по-умолчанию, это всегда root.
Для режима paranoid, я бы рекомендовал в секцию с Defaults добавить строку:
Defaults timestamp_timeout=0
Тогда таймаут станет нулевым и пароль будет запрашиваться на каждой sudo-команде. Аналогично тому, как это делает su. Это исключит возможность получения root-шелл по неистёкшему таймаут. А также исключит возможность беспарольного выполнения sudo-команд.
И в альте и в opensuse, таймаут равен 5 минут.
И таймаут можно сделать не нулевым, а скажем 2 минуты.
Тогда строка с timestamp должна выглядеть так:
Defaults timestamp_timeout=2
Дискретность таймаута, одна минута.
Т.е. после ввода пароля на sudo-команде, пароль в следующий раз будет запрошен по истечении двух минут. Этого достаточно, для выполнения root-команд через sudo.
Но опять же:
Такая конфигурация sudoers, пригодна только для домашнего компьютера и компьютера малого офиса. Когда в офисе или малой организации, админ один и он и есть root.
И ещё момент:
этот варнинг
# ALL ALL=(ALL) ALL # WARNING: only use this together with 'Defaults targetpw'
в основном критичен для каких-то других линукс, но не для альтов.
По-причине:
В альтах, использовать sudo, по-умолчанию имеют право только пользователи группы wheel,
# control | grep 'sudo '
sudo wheelonly (public wheelonly restricted)
в которую после инсталляции альта, входит первый созданный пользователь с UID=500.
Правда без targetpw, на выполнении root-команд через sudo, будет запрашиваться не пароль root, а пароль wheel-пользователя выполняющего sudo-команду.