(edit the sudoers file)
visudo bearbeitet die sudoers-Datei auf sichere Weise. visudo sperrt die sudoers-Datei gegen mehrere gleichzeitige Bearbeitungen, führt grundlegende Integritätsprüfungen durch und überprüft die Datei auf Analysefehler. Wenn die sudoers-Datei gerade bearbeitet wird, erhalten Sie eine Meldung, in der Sie aufgefordert werden, es später erneut zu versuchen.
Es gibt eine feste Liste mit einem oder mehreren Editoren, die visudo verwendet. Diese Liste wird zum Zeitpunkt der Kompilierung festgelegt und kann über die Default-Variable editor in der sudoers-Datei außer Kraft gesetzt werden. außer Kraft gesetzt werden. Diese Liste ist standardmäßig auf "vi" festgelegt. Normalerweise berücksichtigt visudo die Umgebungsvariablen VISUAL oder EDITOR nicht, es sei denn, sie enthalten einen Editor, der in der zuvor erwähnten Editorliste enthalten ist. Wenn jedoch die Default-Variable env_editor in sudoers eingeschaltet ist, dann verwendet visudo alles, was der Editor durch VISUAL oder EDITOR definiert. Beachten Sie, dass dies eine Sicherheitslücke darstellen kann, weil der Benutzer dadurch jedes beliebige Programm ausführen kann, indem er einfach VISUAL oder EDITOR festlegt.
visudo analysiert die sudoers-Datei nach der Bearbeitung und speichert die Änderungen nicht, wenn ein Syntaxfehler besteht. Nachdem ein Fehler gefunden wurde, gibt visudo eine Meldung aus mit Angabe der Zeilennummern, in denen der Fehler aufgetreten ist, und der Benutzer wird über die Meldung "What now?" zu einer Eingabe aufgefordert. An dieser Stelle kann der Benutzer 'e' eingeben, um die sudoers-Datei erneut zu bearbeiten, 'x', um den Vorgang ohne Speichern der Änderungen zu beenden, oder 'Q', um den Vorgang zu beenden und die Änderungen zu speichern. Die Option 'Q' sollte mit äußerster Vorsicht verwendet werden. Wenn visudo glaubt, dass ein Analysefehler besteht, gilt dasselbe für sudo, und sudo kann erst wieder ausgeführt werden, nachdem der Fehler behoben wurde. Wenn 'e' eingegeben wird, um die sudoers-Datei zu bearbeiten, nachdem ein Analysefehler erkannt wurde, wird der Cursor in die Zeile gesetzt, in der der Fehler aufgetreten ist (wenn der Editor diese Funktion unterstützt).
Syntax
visudo [-chqsV] [-f sudoers] [-x output_file] |
Nur-Überprüfen-Modus aktivieren. Die vorhandene sudoers-Datei wird auf Syntaxfehler, Besitzer und Modus überprüft. Eine Meldung wird auf der Standard-Ausgabe ausgegeben, die den Status von sudoers beschreibt, sofern nicht die Option -q angegeben wurde. Wenn die Überprüfung erfolgreich abgeschlossen wird, wird visudo mit dem Wert "0" beendet. Wenn ein Fehler auftritt, wird visudo mit dem Wert "1" beendet.
Alternativen sudoers-Dateispeicherort festlegen. Mit dieser Option bearbeitet (oder überprüft) visudo die sudoers-Datei Ihrer Wahl anstelle der Standarddatei /etc/sudoers. Die verwendete Sperrdatei ist die angegebene sudoers-Datei mit der Erweiterung ".tmp". Das Argument für -f kann im Nur-Überprüfen-Modus '-' sein, was bedeutet, dass sudoers von der Standard-Eingabe gelesen wird.
Kurze Hilfemeldung in der Standard-Ausgabe anzeigen und beenden.
Stillen Modus aktivieren. In diesem Modus werden Details zu Syntaxfehlern nicht ausgegeben. Diese Option ist nur nützlich, wenn sie mit der Option -c kombiniert wird.
Strenge Überprüfung der sudoers-Datei aktivieren. Wenn ein Alias verwendet wird, bevor er definiert wird, betrachtet visudo dies als einen Analysefehler. Beachten Sie, dass es nicht möglich ist, zwischen einem Alias und einem Hostnamen oder Benutzernamen zu unterscheiden, der nur aus Großbuchstaben, Ziffern und dem Unterstrichzeichen ('_') besteht.
Grammatikversionen von visudo und sudoers ausgeben und Vorgang beenden.
sudoers in das JSON-Format exportieren und in "output_file" schreiben. Wenn "output_file" das Zeichen '-' ist, wird die exportierte sudoers-Richtlinie in die Standard-Ausgabe geschrieben. Standardmäßig wird /etc/sudoers (mit allen darin enthaltenen Dateien) exportiert. Die Option -f kann verwendet werden, um eine andere sudoers-Datei für den Export anzugeben. Das exportierte Format kann von Anwendungen von Drittanbietern einfacher analysiert werden als das herkömmliche sudoers-Format. Die verschiedenen Werte haben explizite Typen, wodurch viel von der Mehrdeutigkeit des sudoers-Formats entfällt. |
Variable
Die folgenden Umgebungsvariablen können abhängig von editor und env_editor in der sudoers-Datei herangezogen werden: VISUAL Wird von visudo als der zu verwendende Editor aufgerufen EDITOR Wird von visudo verwendet, wenn VISUAL nicht festgelegt ist |
Datei
/etc/sudoers Liste mit Angaben dazu, wer was ausführen kann /etc/sudoers.tmp Sperrdatei für visudo |
Fehler
Eine andere Person bearbeitet gerade die sudoers-Datei.
Sie haben visudo nicht als Administrator ausgeführt.
Ihre Benutzer-ID ist nicht in der Kennwortdatei des Systems enthalten.
Entweder versuchen Sie, einen nicht deklarierten {User,Runas,Host,Cmnd}_Alias zu verwenden, oder Sie haben einen Benutzer- oder Hostnamen angegeben, der nur aus Großbuchstaben, Ziffern und dem Unterstrichzeichen ('_') besteht. Im letzteren Fall können Sie die Warnungen ignorieren (sudo wird sich nicht beschweren). Im (strengen) Modus -s sind dies Fehler, keine Warnungen.
Der angegebene {User,Runas,Host,Cmnd}_Alias wurde definiert, aber nie verwendet. Sie können den nicht verwendeten Alias auskommentieren oder entfernen.
Der angegebene {User,Runas,Host,Cmnd}_Alias enthält eine Referenz auf sich selbst, entweder direkt oder über einen in diesem enthaltenen Alias. Dies ist standardmäßig nur eine Warnung, weil sudo Zyklen beim Analysieren der sudoers-Datei ignoriert.
Das Kennzeichen -x wurde verwendet, und die angegebene output_file hat denselben Pfadnamen wie die zu exportierende sudoers-Datei. |
Siehe auch
| sudoers, sudo |
Vorsichtsmaßnahmen
| Es gibt keine einfache Möglichkeit, um zu verhindern, dass ein Benutzer eine Root-Shell erhält, wenn der von visudo verwendete Editor Shell-Escapes erlaubt. |