Непонятная логика SUDO

[PIKNIK]

Добрый день, Уважаемые знатоки!

Подскажите, пожалуйста, в какую сторону копать при настройке SUDO:

Сделал в моей Xubuntu Live 15.04  двух пользователей: admin и user

(Нажмите, чтобы показать/скрыть)

admin@0800279ae95f:~$ sudo --version
Sudo version 1.8.9p5
Sudoers policy plugin version 1.8.9p5
Sudoers file grammar version 43
Sudoers I/O plugin version 1.8.9p5
admin@0800279ae95f:~$ uname -a
Linux 0800279ae95f 3.19.0-15-generic #15-Ubuntu SMP Thu Apr 16 23:32:01 UTC 2015 i686 i686 i686 GNU/Linux
admin@0800279ae95f:~$ cat /etc/issue
Ubuntu 15.04 \n \l
admin@0800279ae95f:~$ id
uid=900(admin) gid=1001(admin) groups=1001(admin),5(tty)
admin@0800279ae95f:~$ id user
uid=999(user) gid=1000(user) groups=1000(user),5(tty)

Соответственно, хочу сделать так, чтобы пользователь admin являлся sudoers-пользователем, а user - нет.

Сделал в /etc/sudoers следующую правку:

Код: [Выделить]

%admin ALL=(ALL) ALL
Однако при live-загрузке пользователь user (который изначально является пользователем ubuntu и создавался при запуске ubuntu со съемного носителя) под пользователем user можно без проблем выполнить $ sudo bash и внезапно оказаться под рутом в консоли. Это не есть хорошо.

Облазил все стартовые casper-скрипты, но там не нашёл что-либо, дающее данному пользователю право использовать sudo. В файле /etc/sudoers тоже ничего криминального не нашёл.

(Нажмите, чтобы показать/скрыть)

admin@0800279ae95f:~$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults   env_reset
Defaults   mail_badpass
Defaults   secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root   ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Под admin sudo отрабатывает прекрасно.

Подскажите, где еще можно посмотреть настройки пользователей sudoers? Может есть какая-либо команда, позволяющая перечитать файл /etc/sudoers и пересмотреть свои взгляды на жизнь?

Благодарю за помощь!

[shura1]

Что значит live-загрузка?

В Ubuntu правами sudo обладают все члены группы sudo. Убрать из этой группы проще всего командой

Код: [Выделить]

sudo deluser USER sudo

[Azure]

Код: [Выделить]

grep sudo /etc/groups?

[PIKNIK]

PXE-загрузка LIVECD-образа на бездисковой рабочей станции.
По сути тоже самое, что вы сейчас скачаете xubuntu livecd, но только с изменённой файловой системой (добавлены пользователи, установлены некоторые программы и пр.)

Код: [Выделить]

$ sudo deluser user sudo
/usr/sbin/deluser: The user `user' is not a member of group `sudo'.

$ sudo deluser user admin
/usr/sbin/deluser: The user `user' is not a member of group `admin'.

$ grep sudo /etc/group
sudo:x:27:

$ grep admin /etc/group
tty:x:5:user,admin
lpadmin:x:115:
admin:x:1001:admin

[fisher74]

Не поленился, скачал xubuntu (правда 14.04.4) и затестил на виртуалке.
Видимо я что-то делаю не так.
Да простят меня за картинную галерею, но так будет более правдиво


Не получился только uid юзера, так как он занят пользователем xubuntu (live cd)
Пользователь решил продолжить мысль [time]11 Январь 2016, 21:47:10[/time]:Ну и результаты тестирования 15.04 так же ожидаемы

Пользователь решил продолжить мысль 11 Января 2016, 22:12:02:Показывайте полностью sudoers и всех файлов что вложены в директорию sudoers.d

Код: [Выделить]

sudo cat /etc/sudoers /etc/sudoers.d/*

[PIKNIK]

Ага. Судя по всему вот где интересность была.

Код: [Выделить]

admin@0800279ae95f:~$ sudo cat /etc/sudoers.d/*
user  ALL=(ALL) NOPASSWD: ALL
admin  ALL=(ALL) NOPASSWD: ALL
#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
#
# #includedir /etc/sudoers.d
#
# This will cause sudo to read and parse any files in the /etc/sudoers.d
# directory that do not end in '~' or contain a '.' character.
#
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
#
# Note also, that because sudoers contents can vary widely, no attempt is
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#
admin@0800279ae95f:~$ ls  /etc/sudoers.d/ -la
total 6
drwxr-xr-x 1 root root  60 янв.  12 10:53 .
drwxr-xr-x 1 root root 440 янв.  12 14:49 ..
-rw-r--r-- 1 root root  29 янв.  12 10:53 casper
-rw-r--r-- 1 root root  31 сент.  4 17:13 admin
-r--r----- 1 root root 958 марта 12  2015 README

Удаляю /etc/sudoers.d/casper и всё идёт как по маслу. Именно в нём была прописана строка "user  ALL=(ALL) NOPASSWD: ALL"
В файле  /etc/sudoers инклайд на /etc/sudoers.d/ был закомментирован, поэтому я даже не полез туда проверять. И, судя по всему, очень зря.

Благодарю всех за участие!

[AnrDaemon]

man visudo