Linux Sudo Yetkilendirmesi. Linux sunucularda root yetkisi dışında kullanıcılara yetki vermenin yolu sudo yetkilendirmesi kullanmaktır. Bunu da sağlayan visudo komutudur.
Kısaca, Visudo Linux sistemlerinde kullanıcıların belirli komutları root haklarıyla çalıştırmalarına izin veren bir programdır.
Visudo aracı, sudo yapılandırma dosyasını düzenlemenize izin verir. Bu dosya, sudo kullanarak çalıştırılacak komutları ve hangi kullanıcıların bu komutları çalıştırabileceğini tanımlar.
Resim-1
Linux Sudo yetkilendirmesi örnekleri
Ayrıntılı olarak düşünelim; örneğin mshowto diye bir danışmanınız olsun ve sadece bu sunucuda web servisler ile çalışacak.
Visudo üzerinden aşağıdaki gibi bir yapılandırma yapabilirsiniz.
mshowto ALL=NOPASSWD: /usr/sbin/service apache2 start
mshowto ALL=NOPASSWD: /usr/sbin/service apache2 stop
Veya bu kullanıcının tüm apache parametrelerini kullanmasını istiyorsanız.
mshowto ALL=NOPASSWD: /usr/sbin/service apache2 *
Bu kullanıcının tüm servisleri çalıştırılması isteniyor ise bu servisler ide /usr/sbin altında çalışıyor ise aşağıdaki gibi bir yapılandırma yapabiliriz.
mshowto ALL=NOPASSWD: /usr/sbin/* *
Bu kullanıcı root hesabına şifre yazmadan geçebilsin ve ek olarak root gibi tüm servisleri çalıştırabilsin isteniyorsa aşağıdaki gibi parametre eklenmelidir.
mshowto ALL=NOPASSWD: ALL
Dikkat : Kullanıcı komutları çalıştırmadan önce başına sudo ekleyerek bu haklara sahip olabilir.
Ayrıca kullanıcı tüm servisleri çalıştırabilsin fakat root hesaba geçemesin isteniyorsa, aşağıdaki gibi yapılandırma gerekir.
mshowto ALL=NOPASSWD: ALL
mshowto ALL=NOPASSWD: !/usr/bin/su
Bazen birden fazla kullanıcıya aynı yetkileri tanımlamanız gerekebilir. Böyle durumlarda grup bazlı yetkilendirme yapmak en mantıklısıdır.
Linux sudo işleminde Visudo dosyanızı yapılacak işe ve istenen yetkiye göre çeşitli varyasyonlar ile düzenleyebilirsiniz.
Örneğin grubun adı danisman olsun;
%danisman ALL=(ALL) ALL veya
%danisman ALL= NOPASSWD: ALL
Örneğin, ben kendim danışman ile çalışacağım zaman kullanıcıları belirli bir enterprise pam ürünü ile sisteme dahil ediyorum. (Bu ürün ekran kaydı ve komutların logunu alan bir ürün oluyor. ) Sonrasında ilgili danışmanın uzmanlık alanları ile ilgili servislerde yetki veriyorum.
Yani bu yetkiler dışında fazla yetki vermemeye çalışıyorum.
Ayrıca visudo yetkilerinde root kullanıcısının oturum açmasını istemiyorsak aşağıdaki satırı ekleyebiliriz.
Defaults root:ALL !authenticate
Bunun dışında ek olarak /etc/ssh/sshd_config dosyasında ilgili satırı aşağıdaki gibi düzenlemeliyiz.
PermitRootLogin no
Kısaca söylecek olursak, bu yazıda Linux sudo yetkilendirmesi işleminin nasıl olacağını inceledik.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
