git.gag.com Git - debian/sudo/blob - visudo.pod

   1 Copyright (c) 1996,1998-2005, 2007-2008
   2         Todd C. Miller <Todd.Miller@courtesan.com>
   3
   4 Permission to use, copy, modify, and distribute this software for any
   5 purpose with or without fee is hereby granted, provided that the above
   6 copyright notice and this permission notice appear in all copies.
   7
   8 THE SOFTWARE IS PROVIDED "AS IS" AND THE AUTHOR DISCLAIMS ALL WARRANTIES
   9 WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF
  10 MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR
  11 ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES
  12 WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN
  13 ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF
  14 OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
  15 ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  16
  17 Sponsored in part by the Defense Advanced Research Projects
  18 Agency (DARPA) and Air Force Research Laboratory, Air Force
  19 Materiel Command, USAF, under agreement number F39502-99-1-0512.
  20
  21 =pod
  22
  23 =head1 NAME
  24
  25 visudo - edit the sudoers file
  26
  27 =head1 SYNOPSIS
  28
  29 B<visudo> [B<-c>] [B<-q>] [B<-s>] [B<-V>] [B<-f> I<sudoers>]
  30
  31 =head1 DESCRIPTION
  32
  33 B<visudo> edits the I<sudoers> file in a safe fashion, analogous to
  34 L<vipw(8)>.  B<visudo> locks the I<sudoers> file against multiple
  35 simultaneous edits, provides basic sanity checks, and checks
  36 for parse errors.  If the I<sudoers> file is currently being
  37 edited you will receive a message to try again later.
  38
  39 There is a hard-coded list of editors that B<visudo> will use set
  40 at compile-time that may be overridden via the I<editor> I<sudoers>
  41 C<Default> variable.  This list defaults to the path to L<vi(1)> on
  42 your system, as determined by the I<configure> script.  Normally,
  43 B<visudo> does not honor the C<VISUAL> or C<EDITOR> environment
  44 variables unless they contain an editor in the aforementioned editors
  45 list.  However, if B<visudo> is configured with the I<--with-enveditor>
  46 option or the I<env_editor> C<Default> variable is set in I<sudoers>,
  47 B<visudo> will use any the editor defines by C<VISUAL> or C<EDITOR>.
  48 Note that this can be a security hole since it allows the user to
  49 execute any program they wish simply by setting C<VISUAL> or C<EDITOR>.
  50
  51 B<visudo> parses the I<sudoers> file after the edit and will
  52 not save the changes if there is a syntax error.  Upon finding
  53 an error, B<visudo> will print a message stating the line number(s)
  54 where the error occurred and the user will receive the
  55 "What now?" prompt.  At this point the user may enter "e"
  56 to re-edit the I<sudoers> file, "x" to exit without
  57 saving the changes, or "Q" to quit and save changes.  The
  58 "Q" option should be used with extreme care because if B<visudo>
  59 believes there to be a parse error, so will B<sudo> and no one
  60 will be able to B<sudo> again until the error is fixed.
  61 If "e" is typed to edit the  I<sudoers> file after a parse error
  62 has been detected, the cursor will be placed on the line where the
  63 error occurred (if the editor supports this feature).
  64
  65 =head1 OPTIONS
  66
  67 B<visudo> accepts the following command line options:
  68
  69 =over 12
  70
  71 =item -c
  72
  73 Enable B<check-only> mode.  The existing I<sudoers> file will be
  74 checked for syntax and a message will be printed to the
  75 standard output detailing the status of I<sudoers>.
  76 If the syntax check completes successfully, B<visudo> will
  77 exit with a value of 0.  If a syntax error is encountered,
  78 B<visudo> will exit with a value of 1.
  79
  80 =item -f I<sudoers>
  81
  82 Specify and alternate I<sudoers> file location.  With this option
  83 B<visudo> will edit (or check) the I<sudoers> file of your choice,
  84 instead of the default, F<@sysconfdir@/sudoers>.  The lock file used
  85 is the specified I<sudoers> file with ".tmp" appended to it.
  86
  87 =item -q
  88
  89 Enable B<quiet> mode.  In this mode details about syntax errors
  90 are not printed.  This option is only useful when combined with
  91 the B<-c> option.
  92
  93 =item -s
  94
  95 Enable B<strict> checking of the I<sudoers> file.  If an alias is
  96 used before it is defined, B<visudo> will consider this a parse
  97 error.  Note that it is not possible to differentiate between an
  98 alias and a hostname or username that consists solely of uppercase
  99 letters, digits, and the underscore ('_') character.
 100
 101 =item -V
 102
 103 The B<-V> (version) option causes B<visudo> to print its version number
 104 and exit.
 105
 106 =back
 107
 108 =head1 ENVIRONMENT
 109
 110 The following environment variables may be consulted depending on
 111 the value of the I<editor> and I<env_editor> I<sudoers> variables:
 112
 113 =over 16
 114
 115 =item C<VISUAL>
 116
 117 Invoked by visudo as the editor to use
 118
 119 =item C<EDITOR>
 120
 121 Used by visudo if VISUAL is not set
 122
 123 =back
 124
 125 =head1 FILES
 126
 127 =over 24
 128
 129 =item F<@sysconfdir@/sudoers>
 130
 131 List of who can run what
 132
 133 =item F<@sysconfdir@/sudoers.tmp>
 134
 135 Lock file for visudo
 136
 137 =back
 138
 139 =head1 DIAGNOSTICS
 140
 141 =over 4
 142
 143 =item sudoers file busy, try again later.
 144
 145 Someone else is currently editing the I<sudoers> file.
 146
 147 =item @sysconfdir@/sudoers.tmp: Permission denied
 148
 149 You didn't run B<visudo> as root.
 150
 151 =item Can't find you in the passwd database
 152
 153 Your userid does not appear in the system passwd file.
 154
 155 =item Warning: {User,Runas,Host,Cmnd}_Alias referenced but not defined
 156
 157 Either you are trying to use an undeclare {User,Runas,Host,Cmnd}_Alias
 158 or you have a user or hostname listed that consists solely of
 159 uppercase letters, digits, and the underscore ('_') character.  In
 160 the latter case, you can ignore the warnings (B<sudo> will not
 161 complain).  In B<-s> (strict) mode these are errors, not warnings.
 162
 163 =item Warning: unused {User,Runas,Host,Cmnd}_Alias
 164
 165 The specified {User,Runas,Host,Cmnd}_Alias was defined but never
 166 used.  You may wish to comment out or remove the unused alias.  In
 167 B<-s> (strict) mode this is an error, not a warning.
 168
 169 =back
 170
 171 =head1 SEE ALSO
 172
 173 L<vi(1)>, L<sudoers(5)>, L<sudo(8)>, L<vipw(8)>
 174
 175 =head1 AUTHOR
 176
 177 Many people have worked on I<sudo> over the years; this version of
 178 B<visudo> was written by:
 179
 180  Todd Miller
 181
 182 See the HISTORY file in the sudo distribution or visit
 183 http://www.sudo.ws/sudo/history.html for more details.
 184
 185 =head1 CAVEATS
 186
 187 There is no easy way to prevent a user from gaining a root shell if
 188 the editor used by B<visudo> allows shell escapes.
 189
 190 =head1 BUGS
 191
 192 If you feel you have found a bug in B<visudo>, please submit a bug report
 193 at http://www.sudo.ws/sudo/bugs/
 194
 195 =head1 SUPPORT
 196
 197 Limited free support is available via the sudo-users mailing list,
 198 see http://www.sudo.ws/mailman/listinfo/sudo-users to subscribe or
 199 search the archives.
 200
 201 =head1 DISCLAIMER
 202
 203 B<visudo> is provided ``AS IS'' and any express or implied warranties,
 204 including, but not limited to, the implied warranties of merchantability
 205 and fitness for a particular purpose are disclaimed.  See the LICENSE
 206 file distributed with B<sudo> or http://www.sudo.ws/sudo/license.html
 207 for complete details.