PrepBro
← Назад к вопросам

Что такое sudo в Linux?

1.3 Junior🔥 241 комментариев
#Linux и администрирование

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Что такое sudo в Linux?

sudo (Super User DO) — это мощная и фундаментальная утилита в Linux и других UNIX-подобных операционных системах, которая позволяет легитимному пользователю выполнять команды с привилегиями другого пользователя, по умолчанию — суперпользователя (root). Это ключевой механизм контроля доступа и безопасности, альтернатива прямому входу в систему под учетной записью root.

Основная цель и философия

Основная цель sudo — реализовать принцип минимальных привилегий. Вместо того чтобы давать пользователю полный доступ root на постоянной основе (что крайне опасно), sudo позволяет предоставить временные, строго ограниченные права на выполнение конкретных команд. Это помогает:

  • Повысить безопасность: Снижается риск случайного или намеренного повреждения системы, так как команды с повышенными привилегиями требуют явного подтверждения и аудита.
  • Обеспечить подотчетность: Все команды, выполненные через sudo, по умолчанию логируются (обычно в /var/log/auth.log или /var/log/secure), что позволяет отследить, кто, когда и какую команду выполнил с привилегиями root.
  • Гибко управлять правами: Администратор может тонко настраивать, каким пользователям или группам разрешено выполнять какие конкретные команды и от имени какого пользователя.

Как работает sudo?

Когда пользователь запускает команду с sudo, происходит следующее:

  1. Проверяется конфигурационный файл /etc/sudoers (и файлы в директории /etc/sudoers.d/).
  2. sudo определяет, имеет ли текущий пользователь право на выполнение запрошенной команды.
  3. Обычно у пользователя запрашивается пароль (по умолчанию — его собственный, а не root) для аутентификации. После успешного ввода пароль кэшируется на определенное время (обычно 15 минут), чтобы не запрашивать его повторно.
  4. Если проверка пройдена, команда запускается с привилегиями целевого пользователя (по умолчанию — root).

Базовое использование

Самый распространенный случай — выполнение одной команды с правами root:

sudo apt update

Чтобы открыть текстовый редактор с правами root для редактирования системных файлов:

sudo nano /etc/nginx/nginx.conf

Для перехода в интерактивную оболочку root (не рекомендуется для повседневного использования):

sudo -i
# или
sudo su -

Конфигурация: файл /etc/sudoers

Главный файл конфигурации /etc/sudoers определяет политики sudo. ВАЖНО: Этот файл всегда следует редактировать только с помощью специальной команды visudo, которая блокирует файл, проверяет синтаксис перед сохранением и предотвращает ошибки, которые могут заблокировать доступ к sudo.

sudo visudo

Примеры правил в sudoers:

# Разрешает пользователю alice запускать ВСЕ команды от root (стандартное поведение в некоторых дистрибутивах для первой учетной записи)
alice ALL=(ALL:ALL) ALL

# Разрешает группе developers запускать команды управления службами (systemctl) только для nginx и apache
%developers ALL=(root) /bin/systemctl restart nginx, /bin/systemctl restart apache2

# Разрешает пользователю bob запускать apt update и apt upgrade без ввода пароля
bob ALL=(root) NOPASSWD: /usr/bin/apt update, /usr/bin/apt upgrade

Ключевые особенности и параметры

  • sudo -l: Выводит список команд, которые текущий пользователь может выполнять через sudo.
  • sudo -u <user>: Выполнить команду от имени другого указанного пользователя, а не root. 
    sudo -u postgres psql
  • Переменные окружения: По умолчанию sudo сбрасывает большинство переменных окружения для безопасности. Опция -E позволяет сохранить окружение вызывающего пользователя.
  • Логирование: Как упоминалось, все действия логируются. Пример записи в логе: 
    Jul 28 10:00:15 server sudo: alice : TTY=pts/0 ; PWD=/home/alice ; USER=root ; COMMAND=/bin/apt update

Сравнение с su

Важно не путать sudo с командой su (Substitute User):

  • su (без аргументов) запрашивает пароль root и запускает новую оболочку с правами root. Пользователь становится root на все время сессии.
  • sudo запрашивает пароль текущего пользователя и выполняет только одну указанную команду с повышенными привилегиями.

Современные дистрибутивы (Ubuntu, Debian и др.) по умолчанию отключают учетную запись root и полагаются на sudo, что считается более безопасным подходом.

Заключение

sudo — это не просто префикс для "опасных" команд. Это основополагающий инструмент системного администрирования, который обеспечивает безопасное, контролируемое и подотчетное управление привилегиями в Linux-системах. Его правильная настройка через файл sudoers является критически важной задачей для любого DevOps-инженера, позволяя строить надежную и безопасную инфраструктуру в соответствии с принципом наименьших привилегий.