← До списку лабораторних по Linux
Повний опис / сценарій лабораторної:
Мета: навчитися налаштовувати sudo так щоб мінімізувати ризики але не заважати роботі адміністраторів. Крок 1. Перевірити чи користувач входить до групи sudo або wheel. Команда: id Пояснення: у списку груп має бути група яка дає право використовувати sudo. Крок 2. Якщо треба додати користувача до групи sudo. Команда: sudo usermod dash aG sudo ваш_користувач Пояснення: після цього потрібно перелогінитися щоб група підхопилась. Крок 3. Відкрити конфігурацію sudo через безпечний редактор. Команда: sudo visudo Пояснення: цей інструмент перевіряє синтаксис перед збереженням. Крок 4. Переглянути існуючі правила для груп. Пояснення: знайдіть рядки які дозволяють усі команди без пароля або з паролем. Крок 5. Створити окремий файл налаштувань у каталозі /etc/sudoers.d. Команда: echo "%devgroup ALL=(ALL) NOPASSWD: /usr/bin/systemctl" | sudo tee /etc/sudoers.d/devgroup_systemctl Пояснення: це правило дозволить групі devgroup виконувати systemctl без введення пароля. Крок 6. Перевірити права на файл sudoers.d. Команда: ls -l /etc/sudoers.d Пояснення: переконайтеся що файли мають коректні власника та режим доступу. Крок 7. Перелогінитися або запустити нову сесію для учасника devgroup. Пояснення: права групи застосуються до нових сесій. Крок 8. Перевірити роботу правила. Команда: sudo -l Пояснення: у списку дозволених команд має бути systemctl без вимоги пароля. Крок 9. Спробувати виконати іншу команду з sudo яка не дозволена без пароля. Пояснення: система має попросити пароль або відмовити залежно від політики. Крок 10. Міні звіт. Завдання: опишіть принцип найменших прав для sudo та наведіть приклад небезпечного правила яке не варто створювати.