Ir al contenido

Configurar sudo y agregar usuarios al grupo Wheel

Si un servidor necesita ser administrado por varias personas, normalmente no es una buena idea que todas usen la cuenta de root.

Esto se debe a que resulta difícil determinar exactamente quién hizo qué, cuándo y dónde si todos inician sesión con las mismas credenciales.

La utilidad sudo fue diseñada para superar esta dificultad.

Con sudo (que significa “superuser do”), puede delegar un conjunto limitado de responsabilidades administrativas a otros usuarios, que están estrictamente limitados a los comandos que les permite.

sudo crea una pista de auditoría exhaustiva, por lo que todo lo que hacen los usuarios se registra; si los usuarios de alguna manera logran hacer algo que no deberían haber hecho, podrá detectarlo y aplicar las correcciones necesarias.

Incluso puede configurar sudo de forma centralizada, por lo que sus permisos se aplican a varios hosts.

El comando privilegiado que desea ejecutar debe comenzar primero con la palabra sudo seguida de la sintaxis normal del comando.

Cuando ejecute el comando con el prefijo sudo, se le pedirá su contraseña habitual antes de que se ejecute.

Puede ejecutar otros comandos privilegiados usando sudo dentro de un período de cinco minutos sin que se le vuelva a solicitar una contraseña.

Todos los comandos que se ejecutan como sudo se registran en el archivo de registro /var/ log/messages.

El archivo de configuración de sudo es /etc/sudoers .

Nunca debemos editar este archivo manualmente. En su lugar, use el comando visudo:

# visudo

Esto protege de conflictos (cuando dos administradores editan este archivo al mismo tiempo) y garantiza que se usa la sintaxis correcta (los bits de permiso son correctos). El programa utiliza el editor de texto Vi.

Acceso total a usuarios específicos

Puede otorgar a los usuarios jose y pepe acceso completo a todos los comandos con privilegios, con esta entrada sudoers.

usuario1, usuario2  ALL=(ALL) ALL

Esto generalmente no es una buena idea porque esto permite que usuario1 y usuario2 usen el comando su para otorgarse privilegios permanentes de root, evitando así las funciones de registro de comandos de sudo.

Acceso de usuarios específicos a archivos específicos

Esta entrada permite al usuario1 y a todos los miembros del operador del grupo acceder a todos los archivos de programa en los directorios /sbin y /usr/sbin, además del privilegio de ejecutar el comando /usr/apps/ check.pl.

usuario1, %operator ALL= /sbin/, /usr/sbin, /usr/apps/check.pl

Acceso a archivos específicos como otro usuario

usuario1 ALL=(accounts) /bin/kill, /usr/bin/kill, /usr/bin/pkill

Acceso sin necesidad de contraseñas

Este ejemplo permite a todos los usuarios del operador de grupo ejecutar todos los comandos en el directorio /sbin sin necesidad para ingresar una contraseña.

%operator ALL= NOPASSWD: /sbin/

Agregar usuarios al grupo de Wheel

El grupo de wheel es un legado de UNIX.

Cuando un servidor tenía que mantenerse a un nivel más alto que el administrador del sistema diario, a menudo se requerían derechos de root.

El grupo ‘wheel’ se usó para crear un grupo de cuentas de usuario a las que se les permitió obtener ese nivel de acceso al servidor.

Si no estaba en el grupo ‘wheel’, se le negó el acceso a la raíz.

#Descomentar para permitir que las personas en el grupo Wheel ejecuten todos los comandos
# %wheel ALL=(ALL) ALL

Descomente la línea, borrando la almohadilla, o (en lugar de tener que agregar a cada persona una por una).

Mi recomendación es que descomente la linea y quede:

%wheel ALL=(ALL) ALL

Ahora, finalmente, use el siguiente comando para agregar cualquier usuario (por ejemplo, usuario1) al grupo Wheel

# usermod -G wheel usuario1
Compartir:
Etiquetas:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *