← До списку лабораторних по Linux
Повний опис / сценарій лабораторної:
Мета: навчитися правильно редагувати sudoers, делегувати окремі команди і мінімізувати ризики ескалації. Крок 1. Відкрити sudoers через visudo. Команда: sudo visudo Пояснення: цей інструмент перевіряє синтаксис перед збереженням. Крок 2. Додати запис що дозволяє вашому користувачу виконувати всі команди від root. Приклад: ваш_користувач ALL=(ALL) ALL Пояснення: для прод систем краще уникати настільки широких прав. Крок 3. Додати обмежений запис для іншого користувача. Приклад: deploy ALL=(root) NOPASSWD: /usr/bin/systemctl restart nginx Пояснення: користувач deploy зможе перезапускати тільки nginx без пароля. Крок 4. Зберегти файл та вийти з visudo. Пояснення: якщо є помилки, інструмент попередить. Крок 5. Перевірити виконання дозволеної команди від імені deploy. Команда: sudo -u deploy sudo systemctl restart nginx Пояснення: команда має виконатися без помилки прав. Крок 6. Спробувати виконати іншу команду від імені deploy. Пояснення: вона має бути заборонена або вимагати повних прав. Крок 7. Створити псевдонім команд у sudoers. Пояснення: використайте Cmnd_Alias WEB_CMDS для групи веб команд. Крок 8. Обмежити доступ за хостами. Пояснення: скористайтеся полем ALL у другій колонці щоб звузити список хостів. Крок 9. Зробити резервну копію поточного sudoers у окремий файл. Команда: sudo cp /etc/sudoers ~/sudoers.backup Крок 10. Міні звіт. Завдання: опишіть типові помилки при налаштуванні sudoers які можуть відрізати адміністратора від root доступу.