In /etc/sudoers wird festgelegt, welche Benutzer/Gruppe welche Kommandos via sudo ausführen dürfen.
Besonders interessant ist dabei die Möglichkeit, Kommandos zu nennen, welche ohne zusätzliche Passwortabfrage laufen dürfen.
/etc/sudoers via visudo editieren
sudo visudoPasswortloses sudo für bestimmte Gruppe erlauben
Durch Hinzufügen der folgenden Zeilen erlaubt man Mitgliedern der Gruppe adm die gelisteten Kommandos direkt auszuführen:
%adm ALL=(ALL:ALL) NOPASSWD: /usr/bin/apt-get upgrade, /usr/bin/apt-get dist-upgrade, \
/usr/bin/apt-get update, /usr/bin/apt-get autoremove, \
/bin/netstat -tulpen, /bin/netstat -lnp, \
/usr/sbin/openvpn, /bin/kill -SIGHUP *, \
/sbin/modprobe pcspkr, /usr/bin/vi /etc/bash.bashrc, \
/sbin/poweroff
Wie man sieht, kann auch vorgegeben werden, welche Schalter vorhanden sein müssen. Der Befehl sudo netstat -lnp würde demnach erfolgreich ausgeführt werden, während sudo netstat -l weiterhin die Authorisierung via Passwort erfordert.
Wichtige Anmerkungen
- Einträge weiter unten in der Datei haben höhere Priorität als vorangestellte. Um Schwierigkeiten zu vermeiden, sollte der Ausschnitt aus dem obigem Beispiel am Ende der Datei eingefügt werden.
- Da zuerst in die temporäre Datei /etc/sudoers.tmp geschrieben wird, treten die Einstellungen erst nach dem Schließen des Editors in Kraft.
