Добавление пользователя в sudoers в Linux

Добавление пользователя в список sudoers позволяет предоставить обычным пользователям административный доступ. Так вам не нужно делиться паролем root с другими пользователями системы. Пользователи из sudoers могут выполнять системные команды с привилегиями root.

Ниже описаны способы предоставить права администратора пользователям Linux путём добавления их в список sudoers: через терминал и через графический интерфейс. Также включены рекомендации по безопасности, контроль и критерии приёмки.

Создание нового пользователя в Linux

Перед тем как добавить пользователя в sudoers, нужно создать саму учётную запись. В примерах используется пользователь с именем bob. Выполните команду от имени root или от пользователя с правами sudo.

sudo adduser bob

Введите необходимые данные (имя, пароль и т. п.) или нажимайте Enter, чтобы пропустить необязательные поля. После создания пользователя можно переходить к присвоению ему прав администратора.

Связано: Как добавить пользователя в Linux

Добавление существующих пользователей в sudoers через терминал

Существуют несколько способов добавить пользователя в группу sudo. Команда usermod удобна для добавления существующих пользователей в дополнительные группы.

sudo usermod -aG sudo bob

Опции: -a означает append (добавление), -G указывает список групп. Проверьте, что bob добавлен в группу sudo командой:

groups bob

Если в выводе есть sudo, значит пользователь имеет членство в группе. Альтернативный способ — использовать adduser для добавления пользователя в группу sudo:

sudo adduser bob sudo

Важно: в некоторых дистрибутивах (например, CentOS/RHEL) группа с правами sudo называется wheel. Для таких систем замените sudo на wheel.

Добавление пользователей в sudoers через графический интерфейс

В графических окружениях (GNOME, KDE и др.) можно назначить права администратора через настройки пользователя. Процесс может незначительно отличаться в зависимости от дистрибутива и версии окружения.

1. Откройте «Настройки» системы и перейдите в раздел «Пользователи» или «Учетные записи».
2. Нажмите «Детали» или выберите нужную учётную запись.
3. Нажмите «Разблокировать» и введите свой пароль администратора.
4. Выберите пользователя bob и переключите тип учётной записи на «Администратор».

Управление правами пользователя в Linux

Вы можете добавлять пользователей в sudoers несколькими способами: usermod, adduser или через GUI на Ubuntu. Ещё один подход — прямо редактировать файл /etc/sudoers, но это повышает риск ошибок. Если вы всё же редактируете sudoers вручную, используйте visudo для проверки синтаксиса и предотвращения блокировки доступа.

Команда visudo открывает файл sudoers в безопасном режиме и проверяет синтаксис перед сохранением:

sudo visudo

Запись для конкретного пользователя выглядит так:

bob ALL=(ALL:ALL) ALL

Эта строка даёт bob возможность запускать любые команды с sudo после ввода собственного пароля.

Рекомендации по безопасности

• Принцип наименьших привилегий: выдавайте права админа только тем, кому они действительно нужны.
• Используйте группы, а не индивидуальные записи, чтобы управлять доступом централизованно.
• Ограничьте команды через sudoers с помощью спецификации команд, если нужно предоставить доступ только к конкретным действиям.
• Всегда редактируйте /etc/sudoers через visudo.
• Ведите учёт изменений и используйте ACL/журналы для аудита действий, выполненных через sudo.

Пример: ограничение прав на конкретную команду

Чтобы разрешить пользователю запускать только перезапуск сервиса nginx без пароля, добавьте в sudoers:

bob ALL=(root) NOPASSWD: /bin/systemctl restart nginx

После этого bob сможет выполнить:

sudo systemctl restart nginx

без запроса пароля.

Когда не стоит добавлять в sudoers (контрпример)

• Временные или гостьевые аккаунты — лучше избегать выдачи привилегий.
• Скриптовые учётные записи с автоматическим входом не должны иметь sudo-доступ.
• Если нужно только читать системную информацию, обычно хватает прав обычного пользователя.

Риск-матрица и способы смягчения

• Неправильный синтаксис в /etc/sudoers — риск: потеря доступа администратора. Смягчение: используйте visudo, держите запасной root-доступ (консоль/skip-boot).
• Чрезмерные привилегии — риск: эскалация и утечка данных. Смягчение: применять принцип наименьших привилегий, аудит sudo.
• Неверные права на файлы конфигурации — риск: эксплуатация. Смягчение: установить корректные права и проверять изменения.

Чек-лист по ролям

Администратор:

• Проверить, что группа sudo присутствует.
• Добавить пользователя в sudo через usermod/adduser или GUI.
• Проверить команды sudo и журнал.

Разработчик/оператор:

• Получить необходимые команды (по списку) с ограничением через sudoers.
• Проверить работу команд в тестовой среде.

Аудитор/безопасность:

• Проверить /etc/sudoers на наличие NOPASSWD и обоснованность.
• Настроить централизованный лог sudo.

Критерии приёмки

• Пользователь bob присутствует в группе sudo (команда groups bob показывает sudo).
• Пользователь может выполнить sudo команды и видит корректный лог ввода в журнале.
• Нет ошибок в /etc/sudoers при проверке visudo.
• Для ограниченных прав: проверены разрешённые команды и отсутствие доступа к запрещённым операциям.

Краткий словарь

• sudo: утилита для выполнения команд с правами другого пользователя (обычно root).
• sudoers: конфигурационный файл /etc/sudoers, определяющий, кто и какие команды может запускать.
• visudo: безопасный редактор для изменения файла sudoers с проверкой синтаксиса.
• NOPASSWD: разрешает выполнение указанных команд без ввода пароля.

Финальное резюме

Добавление пользователя в sudoers — простой способ дать права администратора без передачи пароля root. Предпочитайте добавление через группы (usermod/adduser) и используйте visudo при редактировании файла sudoers. Применяйте принцип наименьших привилегий и ведите аудит команд, выполненных через sudo.

Важно: в разных дистрибутивах имена групп и интерфейсы могут отличаться (sudo vs wheel, GNOME vs KDE). Проверяйте локальную документацию.