Правила sudo (Sudo Rules, Правила sudo) — это конфигурационные записи в операционных системах на базе Unix/Linux, которые определяют, какие пользователи или группы пользователей могут выполнять определённые команды с привилегиями другого пользователя (чаще всего суперпользователя root). Правила хранятся в файле /etc/sudoers и управляются с помощью утилиты visudo. Основная цель sudo — предоставление контролируемого и аудируемого доступа к привилегированным операциям без необходимости делиться паролем root.
Возможности и элементы правил sudo:
- Детализированное делегирование привилегий: Разрешение конкретным пользователям или группам выполнять только определённые команды (например, перезапуск служб, управление сетевыми настройками, установка пакетов) от имени root или другого пользователя.
- Синтаксис правил в sudoers:
Пользователь Хост = (Целевой_пользователь) [NOPASSWD:|PASSWD:] Команда1, Команда2 - Типичные возможности правил:
- Запуск команд от имени любого пользователя: Указание
(ALL)в поле целевого пользователя. - Выполнение без ввода пароля: Использование директивы
NOPASSWD:. - Ограничение по хостам: Указание конкретных машин, на которых правило действует (актуально для сетевых конфигураций sudo).
- Использование псевдонимов (Aliases): Создание групп пользователей (
User_Alias), хостов (Host_Alias), команд (Cmnd_Alias) и запуска от имени (Runas_Alias) для упрощения управления. - Запрет выполнения команд: Использование директивы
!перед командой для явного запрета.
- Запуск команд от имени любого пользователя: Указание
Правильная настройка sudo является критически важной практикой принципа наименьших привилегий (Principle of Least Privilege) в Linux/Unix-системах. Слабые или избыточные правила sudo — частый вектор атак, позволяющий злоумышленнику повысить привилегии (privilege escalation). Необходимо регулярно проводить аудит файла sudoers, избегать разрешения на выполнение общих команд (например, ALL, /bin/bash, vim, editor), которые могут быть использованы для обхода ограничений, и включать обязательное логирование (syslog) всех выполненных через sudo команд для последующего расследования инцидентов.
Упоминания
-
4 февраля 2026
В среднем на одну конечную точку в корпоративных сетях приходится 2–3 мисконфигурации
В 2025 году, как сообщают специалисты BI.ZONE, мисконфигурации и уязвимости остаются ключевым вектором для получения первоначального доступа к IT-инфраструктурам. Анализ данных с...
