sudo est un programme en ligne de commande qui permet aux utilisateurs de confiance d'exécuter des commandes en tant que root ou un autre utilisateur.
Dans cet article, nous allons vous montrer deux façons d'accorder des privilèges sudo à un utilisateur. La première consiste à ajouter l'utilisateur au fichier sudoers. Ce fichier contient des informations qui contrôlent les utilisateurs et les groupes auxquels sont accordés les privilèges sudo, ainsi que le niveau des privilèges.
La deuxième option consiste à ajouter l'utilisateur au groupe sudo spécifié dans le sudoers dossier. Par défaut, sur les distributions basées sur Debian comme Ubuntu et Linux Mint, les membres du groupe "sudo" se voient accorder un accès sudo.
Ajout d'un utilisateur au groupe sudo #
Sur Ubuntu, le moyen le plus simple d'accorder des privilèges sudo à un utilisateur consiste à ajouter l'utilisateur au groupe "sudo". Les membres de ce groupe peuvent exécuter n'importe quelle commande en tant que root via sudo et invité à s'authentifier avec son mot de passe lors de l'utilisation de sudo .
Nous supposons que l'utilisateur existe déjà. Si vous souhaitez créer un nouvel utilisateur, consultez ce guide.
Pour ajouter l'utilisateur au groupe, exécutez la commande ci-dessous en tant que root ou un autre utilisateur sudo. Assurez-vous de changer "nom d'utilisateur" avec le nom de l'utilisateur auquel vous souhaitez accorder des autorisations.
usermod -aG sudo usernameAccorder l'accès sudo à l'aide de cette méthode est suffisant pour la plupart des cas d'utilisation.
Pour vous assurer que l'utilisateur dispose des privilèges sudo, exécutez le whoami commande :
sudo whoamiVous serez invité à entrer le mot de passe. Si l'utilisateur a un accès sudo, la commande imprimera "root":
root
Si vous obtenez une erreur disant "l'utilisateur n'est pas dans le fichier sudoers", cela signifie que l'utilisateur n'a pas les privilèges sudo.
Ajout d'un utilisateur au fichier sudoers #
Les privilèges sudo des utilisateurs et des groupes sont définis dans le /etc/sudoers dossier. L'ajout de l'utilisateur à ce fichier vous permet d'accorder un accès personnalisé aux commandes et de configurer des politiques de sécurité personnalisées.
Vous pouvez configurer l'accès utilisateur sudo en modifiant le fichier sudoers ou en créant un nouveau fichier de configuration dans /etc/sudoers.d annuaire. Les fichiers à l'intérieur de ce répertoire sont inclus dans le fichier sudoers.
Utilisez toujours visudo pour éditer le /etc/sudoers dossier. Cette commande vérifie le fichier pour les erreurs de syntaxe lorsque vous l'enregistrez. S'il y a des erreurs, le fichier n'est pas enregistré. Si vous ouvrez le fichier avec un éditeur de texte, une erreur de syntaxe peut entraîner la perte de l'accès sudo.
Typiquement, visudo utilise vim pour ouvrir le /etc/sudoers . Si vous n'avez aucune expérience avec vim et que vous souhaitez modifier le fichier avec nano, changez l'éditeur par défaut en exécutant :
EDITOR=nano visudo
Supposons que vous souhaitiez autoriser l'utilisateur à exécuter des commandes sudo sans qu'un mot de passe lui soit demandé. Pour ce faire, ouvrez le /etc/sudoers fichier :
visudoFaites défiler jusqu'à la fin du fichier et ajoutez la ligne suivante :
/etc/sudoersusername ALL=(ALL) NOPASSWD:ALL
Enregistrez un fichier et quittez l'éditeur. N'oubliez pas de remplacer "nom d'utilisateur" par le nom d'utilisateur auquel vous souhaitez accorder l'accès.
Un autre exemple typique est de permettre à l'utilisateur d'exécuter uniquement des commandes spécifiques via sudo . Par exemple, pour autoriser uniquement le mkdir et rmdir commandes, vous utiliseriez :
username ALL=(ALL) NOPASSWD:/bin/mkdir,/bin/rmdir
Au lieu de modifier le fichier sudoers, vous pouvez accomplir la même chose en créant un nouveau fichier avec les règles d'autorisation dans /etc/sudoers.d annuaire. Ajoutez la même règle que vous ajouteriez au fichier sudoers :
echo "username ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/usernameCette approche rend la gestion des privilèges sudo plus maintenable. Le nom du fichier n'a pas d'importance. C'est une pratique courante que le nom du fichier soit le même que le nom d'utilisateur.