sudo/es

From Gentoo Wiki
Revision as of 21:12, 16 September 2013 by Nimiux (Talk | contribs)

Jump to: navigation, search
Other languages:English 100% • ‎español 100% • ‎français 100% • ‎日本語 21% • ‎한국어 4% • ‎русский 100%

External resources

La orden sudo ofrece una forma sencilla y segura de configurar el escalado de privilegios, esto es, permitir a los usuarios normales correr algunas (o todas) las órdenes que se deseen como root o como otro usuario, posiblemente sin tener que suministrar una contraseña.

Cuando quiera que varias personas realicen ciertas tareas administrativas en su sistema sin que tenga que concederles un acceso total como root, el uso de sudo es la mejor opción. Con sudo puede controlar quién puede hacer según qué. Esta guía le ofrece una pequeña introducción a esta maravillosa herramienta.

Acerca de Sudo

Conceder Permisos

El paquete app-admin/sudo permite al administrador del sistema otorgar permiso a otros usuarios para ejecutar una o más aplicaciones y que, normalmente, no tendría permiso. A diferencia de usar el bit "setuid" en estas aplicaciones, sudo proporciona un control más fino acerca de "quién" puede ejecutar cierta orden y "cuándo" puede hacerlo.

Con sudo puede hacer una lista completa de "quién" puede ejecutar una aplicación determinada. Si estableciera el bit setuid, cualquier usuario podría ejecutar la aplicación (o cualquier usuario de un grupo en concreto, dependiendo de los permisos empleados). Puede (e incluso debería) exigir al usuario que proporcione una contraseña cuando éste quiera ejecutar la aplicación.

Registrar la Actividad

Una ventaja adicional de sudo es que registra cualquier intento (satisfactorio o no) de ejecución de una aplicación. Esto es de gran utilidad si le quiere seguir la pista al que hizo ese error fatal que le llevó diez horas arreglar :)

Configurar Sudo

La configuración de sudo se gestiona mediante el fichero /etc/sudoers. Este fichero no se debe editar con nano /etc/sudoers o vim /etc/sudoers o cualquier otro editor. Cuando quiera modificar este fichero, tendrá que utilizar visudo.

Esta herramienta se asegura que no haya dos administradores del sistema editando el fichero al mismo tiempo, conserva sus permisos y realiza una comprobación de la sintaxis para cerciorarse de que no se cometan errores fatales en el fichero.

Acerca de esta Guía

Esta guía pretende ser una introducción rápida. El paquete sudo es mucho más potente que lo que aquí se describe. Tiene características especiales para la edición de ficheros como un usuario distinto (sudoedit), se puede correr desde un guión (por lo que puede estar en segundo plano, leer la contraseña desde la entrada estándar en lugar del teclado, ...), etc.

Por favor, lea las páginas de sudo y sudoers del manual para obtener mayor información.

Sintaxis de Sudoers

Sintaxis básica

La parte más difícil de sudo es la sintaxis de /etc/sudoers. La sintaxis básica es la siguiente:

CodeSintaxis básica de /etc/sudoers

usuario nombre_de_equipo = órdenes

Esta sintaxis le indica a sudo que el usuario, identificado como "usuario" y conectado al sistema <e>nombre_de_equipo</e>, puede ejecutar cualquiera de las órdenes listados en "órdenes" como usuario root. Un ejemplo más real podría ser más clarificador: permitir al usuario "swift" ejecutar emerge si está conectado al equipo localhost.

CodeEjemplo real del fichero /etc/sudoers

swift localhost = /usr/bin/emerge
Note
El nombre del equipo debe coincidir con lo que devuelve la orden hostname.

De todos modos, una gran advertencia: no permita que un usuario corra una aplicación que pueda permitir incrementar los privilegios a otros. Por ejemplo, permitir que los usuarios ejecuten emerge como root puede en efecto otorgarles acceso total como root al sistema, puesto que emerge se puede modificar para cambiar el comportamiento del sistema de ficheros en beneficio del usuario. Si no confía en los usuarios que pueden emplear sudo, no les conceda ningún derecho.

El nombre de usuario también se puede sustituir por un nombre de grupo. En este caso, debería anteponer el signo % al nombre del grupo. Por ejemplo, para permitir que cualquier usuario del grupo wheel pueda correr emerge:

CodePermitir la ejecución de emerge a los miembros del grupo wheel

%wheel localhost = /usr/bin/emerge

Puede ampliar la línea para permitir varias órdenes (en lugar de escribir una línea para cada orden). Por ejemplo, para permitir al mismo usuario no sol correr emerge como root sino también ebuild y emerge-webrsync:

CodeMultiples órdenes

swift localhost = /usr/bin/emerge, /usr/bin/ebuild, /usr/sbin/emerge-webrsync

Puede incluso especificar una orden preciso y no solo la propia herramienta en sí. Esto es útil para restringir el uso de cierta herramienta a un grupo específico de argumentos. La herramienta sudo permite el uso de caracteres comodín del estilo del intérprete de órdenes (también conocidos como metacaracteres o caracteres "glob") en nombres de ruta así como en argumentos de la línea de órdenes dentro del fichero sudoers. Observe que estos "no" son expresiones regulares.

Pongamos todo esto a prueba:

user $ sudo emerge -uDN world
We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:
(Confiamos en que haya recibido las indicaciones normales del Administrador del Sistema Local. Normalmente consisten en estas tres cosas;)

    #1) Respect the privacy of others (Respete la privacidad del resto).
    #2) Think before you type (Piense antes de escribir).
    #3) With great power comes great responsibility (Grandes poderes conllevan grandes responsabilidades).

Contraseña: ## (Introduzca la contraseña del usuario ¡No la de root!)

La contraseña solicitada por sudo es la del propio usuario. Esto es para asegurarse de que ninguna terminal abierta accidentalmente a otros por error sea utilizada con fines dañinos.

Debería saber que sudo no cambia la variable ${PATH}: cualquier orden situada después de sudo se trata desde "su" entorno. Si desea que el usuario corra una herramienta ubicada en, por ejemplo, /sbin éste debería proporcionar a sudo la ruta completa, algo como:

user $ sudo /usr/sbin/emerge-webrsync

Utilizar Alias

En entornos más extensos que tengan que dar acceso a todos los usuarios una y otra vez (o equipos u órdenes) las tareas pueden ser más costosas de realizar. Para facilitar la administración de /etc/sudoers, puede definir "alias". El formato para declarar los alias es muy fácil:

CodeDeclararar alias en /etc/sudoers

Host_Alias hostalias = equipo1, equipo2, ...
User_Alias useralias = usario1, usuario2, ...
Cmnd_Alias cmndalias = orden1, orden2, ...

Un alias que siempre funciona, en cualquier posición, es ALL (para distinguir correctamente entre lo que son y no son alias, se recomienda utilizar mayúsculas para los alias). Como indudablemente habrá deducido, el alias ALL sirve para todas los valores posibles.

Un ejemplo de uso del alias ALL para permitir a "cualquier" usuario lanzar la orden shutdown si ha accedido al sistema local es:

CodePermitir que cualquier usuario puede ejecutar shutdown

ALL localhost = /sbin/shutdown

Otro ejemplo es permitir al usuario swift lanzar la orden emerge como root, independientemente del equipo donde haya iniciado sesión:

CodePermitir al usuario lanzar una aplicación independientemente de su localización

swift ALL = /usr/bin/emerge

Más interesante es definir un conjunto de usuarios que puedan correr aplicaciones de software administrativo (como por ejemplo emerge y ebuild) en el sistema y un grupo de administradores que puedan cambiar la contraseña de cualquier usuario, excepto la de root:

CodeUtilizar un alias para usuarios y órdenes

User_Alias SOFTWAREMAINTAINERS = swift, john, danny
User_Alias PASSWORDMAINTAINERS = swift, sysop
Cmnd_Alias SOFTWARECOMMANDS = /usr/bin/emerge, /usr/bin/ebuild
Cmnd_Alias PASSWORDCOMMANDS = /usr/bin/passwd [a-zA-Z0-9_-]*, !/usr/bin/passwd root

SOFTWAREMAINTAINERS localhost = SOFTWARECOMMANDS
PASSWORDMAINTAINERS localhost = PASSWORDCOMMANDS

Ejecución como no Root

También es posible que un usuario lance una aplicación como otro usuario distinto que no sea root. Esto puede ser muy interesante si corre aplicaciones como un usuario diferente (por ejemplo, apache para el servidor web) y desea permitir a ciertos usuarios realicen labores administrativas (por ejemplo, acabar con procesos zombi) como ese usuario.

Dentro de /etc/sudoers añada el o los usuarios entre ( y ) antes del listado de órdenes:

CodeSintaxis de ejecución para usuarios que no sean root

usuarios equipos = (correr-como) órdenes

Por ejemplo, para permitir a swift lanzar la herramienta kill como el usuario apache o el usuario gorg:

CodeEjemplo de ejecución como usuario no root

Cmnd_Alias KILL = /bin/kill, /usr/bin/pkill
swift ALL = (apache, gorg) KILL

Con esta configuración definida, el usuario puede lanzar sudo -u para seleccionar el usuario con el que desea lanzar la aplicación:

user $ sudo -u apache pkill apache

Mediante la directiva Runas_Alias, puede establecer un alias para el usuario con el que se va a ejecutar una aplicación. Su uso es idéntico al de otras directivas _Alias vistas anteriormente.

Contraseñas y Configuraciones por Defecto

Por defecto, sudo le pide al usuario que se identifique con su propia contraseña. Una vez que la introduce, sudo la recuerda durante cinco minutos permitiendo al usuario centrarse en sus tareas sin tener que escribir su contraseña cada vez.

Esto, por supuesto, se puede cambiar: puede establecer la directiva Defaults: en /etc/sudoers para cambiar el comportamiento por defecto para un usuario.

Por ejemplo, para cambiar los cinco minutos preestablecidos a cero (no recordarla nunca):

CodeCambiar el tiempo de expiración

Defaults:swift timestamp_timeout=0

La opción -1 haría recordar la contraseña indefinidamente (hasta reiniciar el sistema).

Una configuración diferente sería exigir la contraseña del usuario con el que se ejecutaría la orden y no la propia contraseña personal de los usuarios. Esto se consigue utilizando runaspw. En el siguiente ejemplo, también definiremos el número de intentos (cuántas veces puede el usuario introducir de nuevo la contraseña antes de que sudo falle) a 2, en el lugar de los 3 predeterminados:

CodeExigir la contraseña de root en vez de la del propio usuario

 
Defaults:john runaspw, passwd_tries=2

Otra característica interesante es mantener definida la variable DISPLAY de modo que pueda ejecutar herramientas gráficas:

CodeMantener viva la variable DISPLAY

Defaults:john env_keep=DISPLAY

Puede cambiar muchas de las opciones predeterminadas mediante la directiva Defaults:. Lea la página del manual de sudo y busque Defaults.

Si, no obstante, desea permitirle a un usuario correr un cierto grupo de órdenes sin proporcionar ningún tipo de contraseña, necesita entonces empezar las órdenes con NOPASSWD:, así:

CodePermitir que emerge sea ejecutado como root sin pedir contraseña

swift localhost = NOPASSWD: /usr/bin/emerge

Utilizar Sudo

Listar Privilegios

Ejecute sudo -l para informarse de cuáles son sus capacidades:

user $ sudo -l
El usuario swift puede lanzar las siguiente órdenes en este equipo:
  (root) /usr/libexec/xfsm-shutdown-helper
  (root) /usr/bin/emerge
  (root) /usr/bin/passwd [a-zA-Z0-9_-]*
  (root) !/usr/bin/passwd root
  (apache) /usr/bin/pkill
  (apache) /bin/kill

Si tiene cualquier orden en /etc/sudoers que no le pida que introduzca una contraseña, tampoco se le pedirá una contraseña para listar las entradas. De no ser así, se le podría pedir su contraseña si no se recuerda.

Prolongar la Caducidad de la Contraseña

Por defecto, si un usuario introdujo su contraseña para autenticarse ante sudo, ésta se recuerda durante cinco minutos. Si el usuario quiere prolongar este periodo, puede ejecutar sudo -v para reiniciar la marca de tiempo de modo que pasen otros cinco minutos antes de que sudo pregunte de nuevo por la contraseña.

user $ sudo -v

Lo contrario es quitar la marca de tiempo con sudo -k.

Mejoras en Sudo

Completado de Órdenes en Bash

Los usuario que quieran tener completado de órdenes bash, tendrán que ejecutar esto una sola vez.

user $ sudo echo "complete -cf sudo" >> $HOME/.bashrc

Completado de Órdenes en Zshell

Los usuarios que deseen completado de órdenes en zsh para sudo pueden definir lo siguiente en .zprofile y en .zshrc respectivamente.

File.zprofileAñadir completado de órdenes en zshell

if [[ $EUID != 0 ]]; then
    typeset -xT SUDO_PATH sudo_path
    typeset -U sudo_path
    sudo_path=({,/usr/local,/usr}/sbin(N-/))
    alias sudo="sudo env PATH=\"SUDO_PATH:$PATH\""
fi
File.zshrcAñadir completado de órdenes en zshell

zstyle ':completion:*:sudo:*' environ PATH="$SUDO_PATH:$PATH"

Con el cambio de arriba, todas las órdenes en las localizaciones /sbin, /usr/sbin y /usr/local/sbin estarán disponibles al intérprete de órdenes cuando a la orden se le anteponga 'sudo'.