Управление sudoers

Доступна только в UEM версии

Описание

Управление sudoers — политика, которая позволяет управлять правами sudo для пользователей и групп на устройствах под управлением Linux и macOS

Это инструмент для предоставления ограниченных привилегий root пользователям и группам, позволяя выполнять определенные команды с повышенными правами без предоставления полного доступа к учетной записи root

Примечание

Поддерживаемые операционные системы:

  • Linux

  • macOS

Важно

Внимание! Настройка прав sudo предоставляет пользователям частичные привилегии root. Используйте эту политику с осторожностью

Рекомендуется:

  • Предоставлять минимально необходимые права для выполнения задач

  • Использовать группы вместо отдельных пользователей для удобства управления

  • Регулярно пересматривать и обновлять права sudo

  • Для критических команд требовать ввод пароля

Свойства политики

После выбора шаблона политики откроется окно с ее свойствами для настройки

Вкладка «Политика» содержит следующие поля:

  • Название — уникальное имя политики в системе

    Важно

    Для выполнения или сохранения политики название обязательно для заполнения

  • Название права — уникальный идентификатор правила sudoers

    Важно

    Используйте понятные названия для легкой идентификации правила

    Пример: Monitoring_access, Backup_privileges, Network_admin

  • Группа пользователей — группа Linux/macOS, которой предоставляются права

    Примечание

    Если оставить поле пустым, правило будет применяться ко всем пользователям (ALL)

    Пример: developers, admins, monitoring

  • Действие — операция для выполнения с правилом sudoers

    • Добавить право — создает новое правило sudoers с указанными параметрами

    • Удалить право — удаляет существующее правило sudoers по его названию

  • Команды — список команд, которые можно выполнять с правами sudo

    Важно

    Указывайте полные пути к исполняемым файлам. Каждую команду с новой строки

    Примеры:

    • /usr/bin/systemctl restart nginx

    • /usr/bin/cat /var/log/syslog

    • ALL (полный доступ)

  • Не требовать пароль для sudo — опция отключения запроса пароля

    Примечание

    Если опция активна, пользователи смогут выполнять sudo-команды без ввода пароля

    Рекомендуется отключать для критических команд

Остальные вкладки описаны на странице Политики

Пример

Для предоставления прав перезапуска веб-сервера группе developers:

  1. Нажать на кнопку Добавить Политику в верхнем правом углу экрана на странице Политики

  2. Выбрать шаблон политики «Управление sudoers» из списка предложенных шаблонов

  3. Заполнить поле Название

    Например: Права перезапуска nginx для разработчиков

  4. Заполнить поле Название права

    Например: nginx_restart_access

    Примечание

    Пробелы в названии будут автоматически заменены на подчеркивания

  5. Заполнить поле Группа пользователей

    Например: developers

  6. Выбрать действие Действие

    Например: Добавить право

  7. Заполнить поле Команды

    Например:

    /usr/bin/systemctl restart nginx
/usr/bin/systemctl status nginx

    Важно

    Каждая команда должна быть на отдельной строке

  8. Отключить опцию Не требовать пароль для sudo (оставить неактивной)

  9. Нажать на кнопку Сохранить

  10. Выполнить Тестовый запуск на устройстве для проверки работоспособности политики

  11. После применения политики:

    • В файле /etc/sudoers.d/nginx_restart_access будет создано правило

    • Члены группы developers смогут выполнять:

      • sudo systemctl restart nginx

      • sudo systemctl status nginx

    • При выполнении команд будет запрашиваться пароль пользователя

Для удаления права:

  1. Заполнить поле Название

    Например: Удаление прав nginx_restart_access

  2. Заполнить поле Название права

    Например: nginx_restart_access

    Важно

    Указывайте точно такое же название, какое использовалось при создании

  3. Поля Группа пользователей, Команды можно оставить пустыми

  4. Выбрать действие Действие

    Например: Удалить право

  5. Нажать на кнопку Сохранить

  6. Выполнить Тестовый запуск на устройстве для проверки работоспособности политики

Примечание

Расположение правил sudoers:

  • Правила создаются в директории /etc/sudoers.d/

  • Имя файла соответствует Названию права с заменой пробелов на подчеркивания

  • Формат правила: %группа ALL=(ALL) /путь/к/команде

Пример созданного правила:

# nginx_restart_access
%developers ALL=(ALL) /usr/bin/systemctl restart nginx
%developers ALL=(ALL) /usr/bin/systemctl status nginx

Предупреждение

Важные предупреждения:

  • Неправильная настройка sudoers может заблокировать доступ к системе

  • Правила в /etc/sudoers.d/ должны иметь права 0440

  • Использование ALL предоставляет полные привилегии root

  • Опция NOPASSWD снижает безопасность - используйте ее только когда необходимо

  • Всегда проверяйте синтаксис правил с помощью visudo -c

  • Удаление права удаляет весь файл правила, а не отдельные команды