Sudo/it

Il comando fornisce una via semplice e sicura per permettere agli utenti normali di eseguire alcuni (o tutti) comandi come root o altro utente, eventualmente senza fornire alcuna password.

Per permettere ad alcuni utenti di eseguire certe azioni amministrative su un sistema senza concedere il totale accesso root access, l'uso di è la migliore opzione. L'uso di permette il controllo  su chi può fare cosa. Questa guida offre una piccola introduzione a questo potente strumento.

Questo articolo intende essere una veloce introduzione a. Il pacchetto è molto più potente di quanto si descritto in questo documento. Infatti, ha funzionalità speciali per modificare file come differente utente, eseguire dall'interno di uno script (lanciato in background, leggere la password dallo standard-in in alternativa alla tastiera, ...), ecc.

Per favore leggi le pagine del manuale di e di  per avere maggiori informazioni.

Attività di log
Un vantaggio addizionale di è che può scrivere sul log ogni tentativo (con successo o senza successo) di eseguire una applicazione. Questo è molto utile quando si vuole tenere traccia di chi fa un errore fatale che potrebbe richiedere 10 ore per la risoluzione :)

Ottenimento dei permessi
Il pacchetto permette all'amministratore del sistema di ottenere i permessi di altri utenti per eseguire una o più applicazioni di cui solitamente non si hanno i diritti. Diversamente dall'uso del bit  su queste applicazioni,  dà un grana di controllo molto fine su chi può eseguire certi comandi e quando questo può essere fatto.

Con è possibile fare una chiara lista di chi può eseguire una certa applicazione. Mentre se si usasse il bit setuid, ogni utente potrebbe essere autorizzato ad eseguire questa applicazione (oppure ogni utente di un certo gruppo, in base ai permessi usati). Con è possibile (e, probabilmente, meglio) richiedere all'utente di immettere una password per poter eseguire l'applicazione

La configurazione di è gestita dal file. Questo file non dovrebbe essere mai modificato tramite o  o ogni altro editor che si utilizza normalmente. Quando si vuole alterare questo file, andrebbe usato sempre il comando. Questo tool assicura che il file non venga editato da due amministratori allo stesso tempo, preserva i permessi ed esegue un controllo della sintassi per assicurare che non ci siano errori critici all'interno.

Sintassi di base
La parte più difficile di è la sintassi del file. La sintassi di base è la seguente:

Questa linea dice a che l'utente, identificato da   e loggato nel sistema , può eseguire il comando    (che può anche essere un elenco separato da virgole di comandi consentiti).

Un esempio realistico potrebbe rendere più chiara l'idea: Per permettere all'utente di eseguire  quando è loggato in :

Il nome utente può essere anche sostituito con il nome del gruppo, in tal caso il nome del gruppo andrebbe prefissato con il segno. Per esempio, per permettere ad ogni utente nel gruppo di eseguire :

Per abilitare più di un comando per un determinato utente in una determinata macchina, più comandi possono essere listati nella stessa riga. Per esempio, per permettere all'utente di non eseguire solo  ma anche  e  come root:

La riga di comando precisa può essere inoltre definita (includendo parametri ed argomenti) non solo il nome dell'eseguibile. Questo è utile per restringere l'uso di un certo tool ad uno specifico set di opzioni della riga di comando. Il programma permette di usare wildcards stile shell (AKA meta o caratteri jolly) nei path name come negli argomenti dell righe di comando specificate all'interno del file sudoers. E' da notare come queste non siano espressioni regolari.

Sottostante si ha un'esempio di dalla prospettiva di un'utente a cui per la prima volta è stato concesso il pieno potere ad

La password che richiede è la password dell'utente stesso. Questo è per assicurarsi che nessun terminale rimasto aperto accidentalmente permetta ad altri utenti di abusare per scopi dannosi.

Sintassi di base con LDAP
Le USE flag  e   sono entrambe necessarie per il supporto a LDAP.

Quando si utilizza sudo con LDAP, sudo leggerà anche la configurazione dal server LDAP.. Quindi due file devono essere modificati.

La seguente voce a LDAP dovrà essere aggiunta per sudo.

Le configurazioni su un sudoers su LDAP sono simili a file con qualche differenza. Si legga in aggiunta sudo con LDAP nel link seguente.

Uso degli alias
In grandi ambienti l'inserimento di tutti gli utenti (o sistemi o comandi) più volte può essere una attività costosa. Per facilitare l'amministrazione degli alias possono essere definiti. Il formato per dichiarare gli alias è semplice:

Un alias che funziona sempre, in ogni posizione, è l'alias  (per fare maggior distinzione fra alias e non-alisa è raccomandato usare le lettere maiuscole per i primi). L'alias  è un alias di tutte le possibili configurazioni.

Un esempio di uso dell'alias  per permettere ad ogni (any) utente di eseguire il comando  se è loggato localmente è:

Un altro esempio è permettere all'utente di eseguire il comando  come root, senza considerare da dove si è loggato:

Più interessante è definire un insieme di utenti che possono eseguire software amministrativo (come e ) su un sistema e un gruppo di amministratori che possono cambiare la password di ogni utente ad eccezione di root:

Esecuzione non-root
E' anche possibile avere un utente che esegue una applicazione com e un differente utente non-root. Questo può essere molto interessante quando si eseguono applicazioni come differente utente (per esempio per il server web) e permettere a certi utenti di eseguire operazioni di amministrazione come tali utenti (tipo uccidere processi Zombie).

All'interno di sono elencati gli utenti tra   e   prima dell'elenco dei comandi:

Per esempio, per permettere all'utente di eseguire il tool  come utente  o :

Con questo insieme, l'utente può eseguire per selezionare l'utente con cui vuole eseguire l'applicazione:

Un alias può essere configurato per permettere all'utente di eseguire una applicazione tramite la direttiva. Il suo uso è identico alle altre direttive  viste precedentemente.

Password e configurazioni di default
Di default, chiede all'utente di identificarsi tramite la propria password. Una volta inserita la password, la ricorda per 5 minuti, permettendo all'utente di concentrarsi sulle  sue attività e di non inserire ripetitivamente la sua password.

Ovviamente, questo comportamento può essere cambiato: imposta la direttiva  nel file  per cambiare il comportamento di default per un utente.

Per esempio, per cambiare il valore di default da 5 minuti a 0 (non ricordare mai):

Un valore di  permetterà di ricordare la password per tempo indefinito (sino al riavvio del sistema).

Un configurazione differente potrebbe richiedere la password dell'utente con cui il comando dovrebbe essere richiesto in alternativa alla password personale dell'utente. E' possibile ottenere questo usando. Nell'esempio seguente è stato configurato il numero dei tentativi (quante volte l'utente può reinserire la password prima che fallisca) a   invece del default  :

Un'altra interessante funzionalità quella di mantenere la variabile  impostata in modo che gli strumenti grafici possano essere eseguiti.

Dozzine di valori di default possono essere cambiate usando la direttiva. Si faccia riferimento alle pagine di manuale di per la direttiva.

Per permettere ad un utente di eseguire un certo insieme di comandi senza fornire alcuna password, è necessario iniziare i comandi con, ad esempio:

Completamento Bash
Gli utenti che vogliono avere il completamento bash con sudo devono eseguire il seguente comando almeno una volta.

Completamento ZShell
Gli utenti che vogliono il completamento zsh per sudo possono configurare i file e, rispettivamente, con gli script seguenti:

Con le modifiche di spora, tutti i comandi nelle locazioni, e  saranno disponibile alla shell per il completamento quando il comando è prefissato con 'sudo'.

Elencare i privilegi
Per ottenere la lista dei privilegi dell'utente corrente, si esegua il comando :

Qualsiasi comando in che non richiede una password, non richiederà la password nemmeno per elencare le voci di completamento. Altrimenti, sudo richiederà la password se questa non è stata precedentemente inserita.

Prolungare il timeout della password
Di default, se un utente ha inserito una password per autenticarsi su, questa è ricordata per 5 minuti. Se l'utente vuole prolungare questo periodo, può eseguire per resettare il time stamp guadagnando ulteriori 5 minuti prima che  richieda nuovamente la password.

L'inverso è uccidere la stampa temporale usando.