איך לפטור משתמש משימוש בסיסמה

[Guy Yafe]

איך לפטור משתמש משימוש בסיסמה

יש לי VPS עם ubuntu server 14.04, (יושב על אמאזון EC2, אם זה משנה).
ההתחברות לשרת היא באמצעות מפתח וללא סיסמה.
כשאני מתחבר עם המשתמש הראשי (ubuntu), אני באמת לא צריך את הסיסמה לשום דבר.
הבעיה היא שאם אני מתחבר עם אחד המשתמשים שהגדרתי (guy), החיבור הוא אמנם עם המפתח וללא סיסמה, אבל כל פעולת SUDO אכן דורשת ממני סיסמה.

איך אני יכול למנוע את הצורך בסיסמה גם עבור פעולות SUDO?

גיא

 

[Dניאל Mור]

קיימת הגדרת sudoers הנקראת "NOPASSWD"

המאפשרת הרצת פקודות מסויימות (או כולן) - כמובן לפי הגדרתך, ללא צורך בהקלדת סיסמא. קישור לדוגמא: http://www.ducea.com/2006/06/18/linux-tips-password-usage-in-sudo-passwd-nopasswd. כמובן שעליך לקחת סוגיות אבטחה כאלו ואחרות בחשבון, אבל זה כבר עניינך

&nbsp
בהצלחה רבה!
&nbsp
+דניאל.

 

[Guy Yafe]

מנסה ולא מצליח

על פי המדריכים ששלחת, הוספתי את השורות הבאות (בהתחלה ניסיתי את הראשונה, ולאחר שזה לא עבד, ניסיתי את השניה):
%sudo ALL=NOPASSWD: ALL
guy ALL= NOPASSWD: ALL

ובכל זאת, פעולת SUDO על המשתמש guy דורשת ממני סיסמה.
כמובן שערכתי את הקובץ באמצעות visudo, וניסיתי גם לאתחל את המכונה ובכל זאת אני ממשיך לקבל בקשה לסיסמה.

גיא

 

[Testosterone]

ודאי שהראשונה לא תעבוד,

השורה הראשונה מתחילה ב%, מה שמעיד על שיוך לקבוצה. אם תרצה לתת הרשאות לקבוצה של משתמשים, תאלץ להשתמש ב% ואז שם הקבוצה.

אתה לא מגדיר נכונה את הפרמטרים, שים לב:

from visudo:ido ALL=(ALL) NOPASSWD: ALL
[root@il-test-ld1 ~]# su - ido
[ido@il-test-ld1 ~]$ sudo su[root@il-test-ld1 ido]#

 

[Guy Yafe]

אני לא רוצה להיות ROOT

אני רוצה שבתור guy, אני אוכל לבצע פקודות SUDO ללא צורך בסיסמה.
הגדרתי בדיוק כמוך, ובאמת כשאני עושה sudo su, אני לא צריך סיסמה.
הבעיה היא שבתור guy, אני לא יכול לעשות (לדוגמה) sudo visudo
שים לב שכשאני מנסה לקרוא את /etc/sudoers אני נדרש לסיסמה:
guy@ip-172-31-16-134:~$ sudo cat /etc/sudoers[sudo] password for guy:
#
# This file MUST be edited with the 'visudo' command as root.## Please consider adding local content in /etc/sudoers.d/ instead of# directly modifying this file.## See the man page for details on how to write a sudoers file.#Defaults env_resetDefaults mail_badpassDefaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"guy ALL=(ALL) NOPASSWD:ALL

 

[Dניאל Mור]

האם תוכן הקובץ שהדבקת, הוא כל התוכן בשלמותו?

במידה ולא, העלה את כל התוכן של הקובץ. הסיבה העיקרית שאני שואל זאת היא אחד בשביל לראות בעניים ושתיים, מאחר ולפני חודש בערך, סייעתי לחבר בדיוק עם בעיה זהה (בקטע מהיר כזה, בלי יותר מידי להתעמק), ולמיטב זכרוני זה היה קשור לעניין הבא (לקוח מה - man sudoers):
&nbsp
When multiple entries match for a user, they are applied in order. Where there are multiple matches, the last match is used (which is
not necessarily the most specific match).
&nbsp
תבדוק את העניין הזה טוב טוב. שחק עם הסדר. יכול להיות "שחוק" אחר משפיע עליך.
&nbsp
+דניאל.

 

[Guy Yafe]

תודה על העצה.

מה שהראיתי היה רק ההתחלה של הקובץ (הנחתי שכל השאר לא מעניין). ברגע שהעברתי את השורה הזו להיות אחרונה בקובץ, נראה שזה עובד: התנתקתי והתחברתי מחדש ובSESSION החדש כבר לא התבקשתי לתת סיסמה.
&nbsp
הייתי רוצה לחקור ולהבין לעומק את הקובץ הזה, ואולי בהזדמנות אף אעשה את זה
&nbsp
גיא

 

[Dניאל Mור]

אני שמח לשמוע! רק השבוע ציינתי בפורום את "עניין הדקויות".

על "דקויות" שכאלו נופלים דברים רבים, דרך אגב, לעיתים הרבה יותר "מאסיביים".

המלצה, סתם, כחבר: תמיד, אחרי שפתרנו בעיה בקטע של "מישהו אמר, אז בוא ננסה", כדאי לעצור רגע ולהפנים באמת מה הייתה הבעיה, מה הפתרון ואיך יישמנו אותו. למה? ראשית כי זה כיף, שנית - כי פעם הבאה כבודו יהיה זה שיעזור!

בהצלחה!!!

+דניאל.

 

[Guy Yafe]

כשאתה צודק, אתה צודק....