Как заставить sudo запрашивать пароль root?

Когда я работаю sudoкак обычный непривилегированный пользователь, он запрашивает мой пароль, а не пароль root. Это часто удобно, но уменьшает количество информации, которое кто-то должен иметь для запуска команд от имени пользователя root. Итак, как я могу сделать sudoзапрос пароля root вместо пароля вызывающего пользователя?

Я знаю, что это будет сделано с помощью строки /etc/sudoers, но я никогда не смогу правильно проанализировать грамматику BNF на странице руководства, чтобы выяснить, что именно писать.

Хорошо, здесь снова, поэтому вы можете установить галочку.

В /etc/sudoers, добавьте эту строку:

Defaults rootpw

чтобы включить флаг rootpw, заставив sudo запросить пароль root.

Вам нужно включить rootpwфлаг.

Я знаю, что этот вопрос старый, но это самый лаконичный вопрос, который я нашел для этого варианта использования (это небольшой процент, правда, но, тем не менее, законный и полезный в правильном сценарии).

После объединения всех шагов из разных источников, включая многочисленные ответы на этот вопрос, эти шаги работают в Ubuntu-Gnome 16.04 LTS:

1. Установить пароль для root
   • Это КРИТИЧЕСКОЕ, чтобы сделать ПЕРВЫЙ ! (Ubuntu автоматически не имеет пароля для пользователя ROOT из-за стандартной конфигурации безопасности.
   • Если вы не сделаете это сначала, вы заблокируете себя от доступа к привилегиям root. Этого можно избежать, загрузившись с Live Disk, подключив жесткий диск и отредактировав файл sudoers, но лучше этого избежать.
   • Откройте терминал и введите: sudo passwd
   • Установите новый пароль для пользователя ROOT.
2. Измените конфигурацию SUDO, чтобы требовать пароль root
   • SUDO требует пользователя, запрашивающего привилегии root
   • Установка флага «rootpw» вместо этого говорит SUDO требовать пароль для пользователя root.
   • Откройте терминал и введите: sudo visudo
   • Откроется файл "/ etc / sudoers"
   • После другой строки «По умолчанию» добавьте: Defaults rootpw
   • Сохраните его (при условии, что вы находитесь в nano, по умолчанию это CTRL + O)
   • Закройте файл (CTRL + X) и выйдите из терминала
3. Вы сделали!

Просто небольшое замечание - я также хотел убедиться, что пользователь root не может быть использован для входа из графического входа, и поэтому искал способы исключения. Очевидно, что пользователь root по умолчанию исключен и не может использоваться для входа через графический вход Gnome - что очень хорошо!

Обычная конфигурация, которая требует пароль цели (не то, что мы хотим):

Defaults targetpw
ALL ALL=(ALL) ALL

Вторая строка будет выглядеть так: «ВСЕ пользователи на ВСЕХ хостах могут выдавать себя за (ВСЕХ) пользователей при выполнении ВСЕХ команд». и Defaults targetpwозначает, что для этого им нужно знать пароль пользователя, который имитирует себя.

Наивно изменяя эту простую конфигурацию:

Defaults rootpw

не оставил бы ни одного пользователя или группу с правом запуска команд от имени другого пользователя.

Одна рабочая возможность будет:

Defaults rootpw
myuser ALL=(ALL) ALL

Говоря простым языком, myuserтеперь он может запускать ВСЕ команды от имени любого пользователя на ВСЕХ хостах, если известен пароль root.

Другая возможность работы будет:

Defaults rootpw
%sudousers ALL=(ALL) ALL

Любой член sudousersгруппы будет иметь возможность запускать ВСЕ команды, как любой пользователь на ВСЕХ хостах, при условии, что известен пароль root. Чтобы позволить myuserзапускать команды sudo, sudousersнеобходимо добавить его второстепенные группы.

su
usermod -a -G sudousers myuser
exit

Вы можете просто отключить sudo и использовать su -c.

С помощью

судо су

позволит вам запустить столько команд, сколько вы хотите подряд.