sudo
config
- edición /etc/sudoers:
sudo visudo--check--strict--file=/etc/sudoers.d/alternate
sudoers
directorio /etc/sudoers.d
sudo visudo -f /etc/sudoers.d/nopass- interpreta todos los archivos que no acaben en ~ o .
sudo update-alternatives --config editor
reglas de privilegio de usuario
<USER> <HOST>=(<USER>:<GROUP>) <COMMANDS>
- usuario root con todos los privilegios:
root ALL=(ALL:ALL) ALL
- permite a los usuarios de grupo todos los privilegios:
%grupo ALL=(ALL:ALL) ALL
- no pregunta contraseña:
root ALL=(ALL:ALL) NOPASSWD:ALL
alias
- User_Alias:
User_Alias <ALIAS>=user1, user2, user3, Grupo
- los nombres de los grupos han de estar en mayúsculas
- permite a los usuarios del alias ejecutar
apt-get update:<ALIAS> ALL = /user/bin/apt-get update
- Cmnd_Alias:
Cmnd_Alias <ALIAS>=comando1, comando2, comando3
- lista de comandos que queremos permitir (o denegar?)
<ALIAS_GRUPO> ALL = <ALIAS_COMANDO>
- Runas_Alias
Runas_Alias <ALIAS> = <user1>, <user2>
- permite ejecutar comandos como otro usuario
- cualquier miembro de ALIAS_GRUPO podrá ejecutar comandos como <user1> o <user2>:
<ALIAS_GRUPO> ALL = (<ALIAS_RUNAS>) ALL
sudo -u <usuario-ejecutar-como> comandosudo -g <grupo-ejecutar-como> comando
etiquetas
- PASSWD: solicitud de contraseña (opción por defecto)
- NOPASSWD: no solicita contraseña para la ejecución del comando.
- NOEXEC: impide la ejecución del comando con permisos root
- El comportamiento que ofrece una etiqueta puede ser anulado por otra posteriomente en la misma línea.
privilegios root sin password
- GROUPONE ALL = NOPASSWD: /usr/bin/updatedb
- los usuarios de GROUPONE podrán ejecutar
updatedbcomo root sin contraseña
- GROUPONE ALL = NOPASSWD: /usr/bin/updatedb, PASSWD: /bin/kill
no ejecución
usuario ALL = NOEXEC: /usr/bin/less
sudo sin password
- añadir al final del fichero:
<username> ALL=(ALL) NOPASSWD:ALL