Sudo/it

Il comando fornisce una via semplice e sicura per permettere agli utenti normali di eseguire alcuni (o tutti) comandi come root o altro utente, eventualmente senza fornire alcuna password.

Per permettere ad alcuni utenti di eseguire certe azioni amministrative su un sistema senza concedere il totale accesso root access, l'uso di è la migliore opzione. L'uso di permette il controllo  su chi può fare cosa. Questa guida offre una piccola introduzione a questo potente strumento.

Questo articolo intende essere una veloce introduzione a. Il pacchetto è molto più potente di quanto si descritto in questo documento. Infatti, ha funzionalità speciali per modificare file come differente utente, eseguire dall'interno di uno script (lanciato in background, leggere la password dallo standard-in in alternativa alla tastiera, ...), ecc.

Per favore leggi le pagine del manuale di e di  per avere maggiori informazioni.

Attività di log
Un vantaggio addizionale di è che può scrivere sul log ogni tentativo (con successo o senza successo) di eseguire una applicazione. Questo è molto utile quando si vuole tenere traccia di chi fa un errore fatale che potrebbe richiedere 10 ore per la risoluzione :)

Ottenimento dei permessi
Il pacchetto permette all'amministratore del sistema di ottenere i permessi di altri utenti per eseguire una o più applicazioni di cui solitamente non si hanno i diritti. Diversamente dall'uso del bit  su queste applicazioni,  dà un grana di controllo molto fine su chi può eseguire certi comandi e quando questo può essere fatto.

Con è possibile fare una chiara lista di chi può eseguire una certa applicazione. Mentre se si usasse il bit setuid, ogni utente potrebbe essere autorizzato ad eseguire questa applicazione (oppure ogni utente di un certo gruppo, in base ai permessi usati). Con è possibile (e, probabilmente, meglio) richiedere all'utente di immettere una password per poter eseguire l'applicazione

La configurazione di è gestita dal file. Questo file non dovrebbe essere mai modificato tramite o  o ogni altro editor che si utilizza normalmente. Quando si vuole alterare questo file, andrebbe usato sempre il comando. Questo tool assicura che il file non venga editato da due amministratori allo stesso tempo, preserva i permessi ed esegue un controllo della sintassi per assicurare che non ci siano errori critici all'interno.

Sintassi di base
La parte più difficile di è la sintassi del file. La sintassi di base è la seguente:

Questa linea dice a che l'utente, identificato da   e loggato nel sistema , può eseguire il comando    (che può anche essere un elenco separato da virgole di comandi consentiti).

Un esempio realistico potrebbe rendere più chiara l'idea: Per permettere all'utente di eseguire  quando è loggato in :

Il nome utente può essere anche sostituito con il nome del gruppo, in tal caso il nome del gruppo andrebbe prefissato con il segno. Per esempio, per permettere ad ogni utente nel gruppo di eseguire :

La linea può essere estesa per permettere molti comandi (invece di inserire una singola voce per ogni comando). Per esempio, per permettere allo stesso utente di non eseguire solo ma anche  e  come root:

E' possibile anche specificare una precisa riga di comando e non solo il tool stesso. Questo è utile per restringere l'uso di un certo tool ad uno specifico set di opzioni della riga di comando permette di usare wildcard stile shell (AKA meta o caratteri jolly) nei path name come negli argomenti dell righe di comando specificate all'interno del file sudoers. E' da notare come queste non siano espressioni regolari.

Mettiamo questo alla prova:

La password che richiede è la password dell'utente stesso. Questo è per rendere sicuro che altri utenti non possano abusare con intenti maliziosi di alcun terminale lasciato accidentalmente aperto.

Si dovrebbe sapere che non altera la variabile  : ogni comando indicato dopo  è trattato in aderenza al proprio ambiente. Se si vuole permettere all'utente di eseguire un tool in, questo deve fornire il path completo a :

Sintassi di base con LDAP
Le USE flag  e   sono entrambe necessarie per il supporto a LDAP.

Quando si usa LDAP, sudo leggerà la configurazione dea un Server LDAP. E' necessario quindi modificare due files.

E' necessario aggiungere la seguente voce a LDAP per Sudo.

Le configurazioni su un sudoers su LDAP sono simili a file con qualche differenza. Si legga in aggiunta Sudo con LDAP nel link seguente.

Uso degli alias
In grandi ambienti l'inserimento di tutti gli utenti (o sistemi o comandi) più volte può essere una attività costosa. Per facilitare l'amministrazione possono essere definiti gli ''alias' Il formato per dichiarare gli alias è semplice:

Un alias che funziona sempre, in ogni posizione, è l'alias  è un alias di tutte le possibili configurazioni.

Un esempio di uso dell'alias  per permettere ad ogni (any) utente di eseguire il comando  se è loggato localmente è:

Un altro esempio è permettere all'utente di eseguire il comando  come root, senza considerare da dove si è loggato:

Più interessante è definire un insieme di utenti che possono eseguire software amministrativo (come e ) su un sistema e un gruppo di amministratori che possono cambiare la password di ogni utente ad eccezione di root:

Esecuzione non-root
E' anche possibile avere un utente che esegue una applicazione com e un differente utente non-root. Questo può essere molto interessante per eseguire applicazioni come differente utente (per esempio per il server web) e permettere a certi utenti di eseguire operazioni di amministrazione come tali utenti (tipo uccidere processi Zombie).

All'interno di sono elencati gli utenti tra   e   prima dell'elenco dei comandi:

Per esempio, per permettere all'utente di eseguire il tool  come utente  o :

Con questo insieme, l'utente può eseguire per selezionare l'utente con cui vuole eseguire l'applicazione:

E' possibile configurare un alias per permettere all'utente di eseguire una applicazione tramite la direttiva. Il suo uso è identico alle altre direttive  viste precedentemente.

Password e configurazioni di default
Di default, chiede all'utente di identificarsi tramite la propria password. Una volta inserita la password, la ricorda per 5 minuti, permettendo all'utente di concentrarsi sulle  sue attività e di non inserire ripetitivamente la sua password.

Ovviamente, questo comportamento può essere cambiato: è possibile impostare la direttiva  nel file  per cambiare il comportamento di default per un utente.

Per esempio, per cambiare il valore di default da 5 minuti a 0 (non ricordare mai):

Un valore di  permetterà di ricordare la password per tempo indefinito (sino al riavvio del sistema).

Un configurazione differente potrebbe richiedere la password dell'utente con cui il comando dovrebbe essere richiesto in alternativa alla password personale dell'utente. E' possibile ottenere questo usando. Nell'esempio seguente è stato configurato il numero dei tentativi (quante volte l'utente può reinserire la password prima che fallisca) a   invece del default  :

Un'altra interessante funzionalità quella di mantenere la variabile  impostata in modo da poter eseguire strumenti grafici.

E' possibile cambiare dozzine di valori di default usando la direttiva. Si faccia riferimento alle pagine di manuale di per la direttiva.

Per permettere ad un utente di eseguire un certo insieme di comandi senza fornire alcuna password, è necessario iniziare i comandi con, ad esempio:

Completamento Bash
Gli utenti che vogliono avere il completamento bash con sudo devono eseguire il seguente comando almeno una volta.

Completamento ZShell
Gli utenti che vogliono il completamento zsh per sudo possono configurare i file e, rispettivamente, con gli script seguenti:

Con le modifiche di spora, tutti i comandi nelle locazioni, e  saranno disponibile alla shell per il completamento quando il comando è prefissato con 'sudo'.

Elencare i privilegi
Per ottenere la lista dei privilegi dell'utente corrente, si esegua il comando :

Qualsiasi comando in che non richiede una password, non richiederà la password nemmeno per elencare le voci di completamento. Altrimenti, sudo richiederà la password se questa non è stata precedentemente inserita.

Prolungare il timeout della password
Di default, se un utente ha inserito una password per autenticarsi su, questa è ricordata per 5 minuti. Se l'utente vuole prolungare questo periodo, può eseguire per resettare il time stamp guadagnando ulteriori 5 minuti prima che  richieda nuovamente la password.

L'inverso è uccidere la stampa temporale usando.