A Linux rendszereknél jellemzően kétféle felhasználó van: a sima user, azaz a felhasználó, illetve a teljhatalmú úr: a rendszergazda. A root, a rendszergazda jogosult minden olyan feladatra, ami érinti a rendszer egészét. Ha sima user szeretne valami olyan feladatot elvégezni, amihez rendszergazdai jogok kellenének, két lehetősége van: vagy belép root felhasználóként, vagy ideiglenesen „igényel” emeltebb jogot. Ezt az emeltebb jogot a sudo paranccsal kapjuk meg. Ha otthoni a gép, csak te használod akkor is ezt használjuk, hiszen a kilépek a sima felhasználói fiókból, majd belépek rendszergazdaként elég időigényes. Egyéb helyeken eléggé szabályozzák, hogy egy sima user milyen feladatokat láthat el a sudo paranccsal. Ez ismert is volt eddig is, nagy újdonságot nem írtam.
Ha használod a sudo-t, észrevehetted, hogy az első olyan parancs után, aminél használod, a következőknél már egy ideig nem kéri be a jelszót újra. Ez az idő jellemzően 15 perc, de a disztribútorod döntése, vagy a rendszergazda beállításai szerint ez eltérhet.
Sudo időkorlát beállítása
Ez az érték nem minden esetben jó. Sok esetben rövidnek bizonyulhat, ha hosszabban akarsz rendszert adminisztrálni. Ha kezdő vagy, és lassan dolgozol, akkor nagyon idegesítő tud lenni, ha teszed a dolgod, örülsz, hogy végre megtalálta a google a neked fontos megoldást, beírod, majd a terminál kiírja, hogy neked ehhez semmi jogod. Bár magát a parancsot nem kell újra begépelni, a shell (a terminál, ha egyszerűen akarjuk megfogalmazni) megjegyzi és a felfele nyíllal vissza tudod hozni a parancsokat, majd elírod, hogy sudo. Illetve a zsh shellnél van olyan plugin amivel az ESC kétszeri lenyomása után az utolsó parancsot már így írja vissza a terminálba. De az idő, és plusz egy lépés, ha kifutsz a megadott 15 perces időkeretből.
A másik véglet, amikor sok a 15 perc. Ha úgy gondolod, hogy te jellemzően sokkal gyorsabban végzel, vagy csak egy-egy parancsot akarsz sudo-zni, akkor már biztonsági rés lehet, hogy hosszabb ideig tárolja az emeltebb jogot a rendszer. Így első lépés, hogy megszokjuk: ha végeztünk a rendszerünk adminisztrációjával, kilépünk a terminálból, becsukjuk az ablakát. Az gondolom egyértelmű, ha root-ként léptünk be, akkor kilépünk a root felhasználói fiókból és visszalépünk sima, mezei userként.
Ha nem felel meg számodra a 15 perc, akkor azt meg kell változtatni. Erre is van mód, hiszen a Linux rendszerek nagyon jól testreszabhatóak. A sudo beállításai a sudoerc fájlban vannak. Ami egy sima szövegfájl. De, és itt nagyon fontos megjegyezni, hogy ezt soha nem szerkesztjük egy szövegszerkesztővel. Soha! Csak, és kizárólag a megadott módszerrel szerkeszd, mert a visudo nem csak szerkeszti, hanem ellenőrzi is a beírtakat, és ha gondja van szólni fog.
sudo visudo
majd bekéri a jelszavadat. Ezután már szerkeszthető a sudo konfigurációs állománya. Ilyen sort keress:
Defaults env_reset
Ehhez kell hozzáadni a timestamp_timeout=x részt, ahol az x lesz az az érték, ameddig a sudo tárolja a jelszavadat. Nálam ez így néz ki:
Defaults env_reset,timestamp_timeout=2
A sudo időlimitje nálam két perc. Ezután már újra bekéri a jelszót. Első körben ez rövidnek tűnik, de ennyi általában elég, és a jelszó újbóli megadása sem okoz gondot.
Ha nincs ilyen sor, hozd létre.
Ha azt akarod, hogy a rendszer minden alkalommal kérjen jelszót a sudo parancs végrehajtásakor, állítsd x értékét 0-ra. Paranoidabb felhasználóknak, gyorsan gépelőknek, vagy olyan helyen, ahol más is hozzáférhet a géphez ez egy jó ötlet lehet. Ha azt akarod, hogy a rendszer soha ne kérjen sudo jelszót, akkor állítsa x értékét -1-re. Ellenjavallt, bár egy olyan helyzetben, amikor egy-egy disztribúciót próbálgatsz hasznos lehet, hogy soha nem kér jelszót. Amúgy meg nem kellene használni így, ha nincs konkrét célod vele.
Majd CTRL+o kiíratjuk a módosításokat, és CTRL+x kilépünk. Ha valami nem stimmel, akkor a visudo szól, és rákérdez a teendőkre. Soha ne írasd felül a sudo beállítási állományt abban az esetben, ha hibát jelez, vagy nem vagy teljesen biztos, hogy tudod mit csinálsz. Azért használjuk a visudo-t, mert ellenőrzi a fájlban lévő beállítást és ha valami nem tetszik neki, akkor szól!
Érdemes két sudo kapcsolót ismerni, bár én nem használom ezeket, de hasznosak lehetnek.
Egyetlen parancs használatával kérheted, hogy az emelt jog addig tartson, amíg be nem zárod a terminált, függetlenül attól, hogy a terminál mennyi ideig marad nyitva. A következő parancs végrehajtása után a rendszer nem kéri a sudo parancsok jelszavát:
sudo -s
Így amíg nyitva lesz a terminál ablakod, egyszeri jelszó megadásával dolgozhatsz emelt joggal.
Ha pedig az időkorlát lejárta előtt szeretnél „megszabadulni” az emelt jogtól, a
sudo -k
paranccsal megteheted. Ami fontos! Ha előtte a sudo -s paranccsal a terminál bezárásig kérted az emelt jogot, akkor ez nem fog működni! Ami logikus is, hiszen itt arra kérted a rendszert, hogy bizony addig legyél emelt joggal, amíg a terminált nyitva tartod, és bírálja felül az alapbeállítást.
Bármelyik megoldást használod, soha ne hagyd ott a gépet egy emelt jogú nyitott terminállal. Zárd le a munkádat, ha root-ként vagy bejelentkezve, akkor lépj ki, ha emelt jogot „béreltél” a sudo-val, akkor fejezd be, és légy sima user…
A leírtakat Arcolinux alatt teszteltem 2020. februárjában.