{"id":31845,"date":"2014-08-04T12:18:10","date_gmt":"2014-08-04T17:18:10","guid":{"rendered":"http:\/\/webirix.com\/?p=31845"},"modified":"2014-08-04T12:18:10","modified_gmt":"2014-08-04T17:18:10","slug":"como-configurar-y-utilizar-sudo-en-linux","status":"publish","type":"post","link":"https:\/\/webirix.com\/en\/como-configurar-y-utilizar-sudo-en-linux\/","title":{"rendered":"How to configure and use Sudo on Linux"},"content":{"rendered":"

\"ok\"<\/a><\/h2>\n

Introducci\u00f3n.<\/h2>\n

Sudo<\/a>\u00a0es una herramienta de sistema que permite a los usuarios realizar la ejecuci\u00f3n de mandatos como superusuario u otro usuario de acuerdo a como se especifique en el fichero\u00a0\/etc\/sudoers<\/b>, donde se determina quien est\u00e1 autorizado. Los n\u00fameros de identidad de usuario y de grupo (UID y GID) reales y efectivas se establecen para igualar a aquellas del usuario objetivo como est\u00e9 especificado en el fichero\u00a0\/etc\/passwd<\/b>.<\/p>\n

De modo predeterminado sudo requiere que los usuarios se autentiquen as\u00ed mismos con su propia clave de acceso (nunca la clave de acceso de root<\/b>). Una vez que el usuario se ha autenticado, el usuario podr\u00e1 utilizar nuevamente sudo sin necesidad de volver a autenticarse durante 5 minutos, salvo que se especifique lo contrario en el fichero\u00a0\/etc\/sudoers<\/b>. Si el usuario ejecuta el mandato\u00a0sudo -v<\/b>\u00a0podr\u00e1 refrescar \u00e9ste periodo de tiempo sin necesidad de tener que ejecutar un mandato, en cuyo caso contrario expirar\u00e1 esta autenticaci\u00f3n y ser\u00e1 necesario volver a realizarla.<\/p>\n

Si un usuario no listado en el fichero\u00a0\/etc\/sudoers<\/b>. trata de ejecutar un mandato a trav\u00e9s de sudo, se registra la actividad en la bit\u00e1cora de sistema (a trav\u00e9s de\u00a0syslogd<\/b>) y se env\u00eda un mensaje de correo electr\u00f3nico al administrador del sistema (root).<\/p>\n

Historia.<\/h3>\n

Sudo fue inicialmente concebido en 1980 por Bob Coggeshall y Cliff Spencer del departamento de ciencia computacional en SUNY (State University of New York o Universidad Estatal de Nueva York), en Buffalo.<\/p>\n

En 1985 se public\u00f3 el grupo de noticias\u00a0net.sources<\/i>\u00a0una versi\u00f3n mejorada acreditada a Phil Betchel, Cliff Spencer, Gretchen Phillips, John LoVerso y Don Gworek. Garth Snyder public\u00f3 otra versi\u00f3n mejorada en el verano de 1986 y durante los siguientes cinco a\u00f1os fue mantenido con al colaboraci\u00f3n de muchas personas, incluyendo Bob Coggeshall, Bob Manchek, y Trent Hein.<\/p>\n

En 1991 Dave Hieb y Jeff Nieusma escribieron una nueva versi\u00f3n con un formato mejorado para el fichero\u00a0\/etc\/sudoers<\/b>bajo contrato con la firma consultora\u00a0The Root Group<\/a>, versi\u00f3n que posteriormente fue publicada bajo los t\u00e9rminos de la\u00a0Licencia P\u00fablica General de GNU<\/a>\u00a0(GNU\/GPL).<\/p>\n

Desde 1996 el proyecto es mantenido por Todd Miller con la colaboraci\u00f3n de Chris Jepeway y Aaron Spangler.<\/p>\n

Fichero \/etc\/sudoers<\/h2>\n

El fichero\u00a0\/etc\/sudoers<\/b>\u00a0se edita con el mandato\u00a0visudo<\/b>, herramienta que a trav\u00e9s de vi permite realizar cambios y verificar sintaxis y errores. Si se trata de modificar directamente\u00a0\/etc\/sudoers<\/b>, \u00e9ste tiene permisos de solo lectura.<\/p>\n

La sintaxis b\u00e1sica de una lista ser\u00eda:<\/p>\n

<\/p>\n\n\n\n
\n
XXXX_Alias NOMBRELISTA = elemento1, elemento2, elemento3<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
La sintaxis b\u00e1sica de una regla ser\u00eda:<\/p>\n
<\/p>\n\n\n\n
\n
[usuario, %grupo, NOMBRELISTA] [anfitri\u00f3n] = (id de usuario a usar) mandatos<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Se pueden definir Aliases y reglas. Los aliases permiten definir una lista de mandatos , una lista de usuarios, un alista de anfitriones o bien ejecutar como otros usuarios.<\/p>\n
Cmnd_Alias.<\/h3>\n
<\/p>\n\n\n\n
\n
Cmnd_Alias MANDATOSHTTPD = \/sbin\/service httpd restart, \\\r\n        \/usr\/bin\/vim \/etc\/httpd\/conf.d\/variables.conf, \\\r\n        \/usr\/bin\/vim \/etc\/php.ini<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior define una lista de mandatos que podr\u00edan utilizarse para reiniciar el servicio de httpd, modificar un fichero de configuraci\u00f3n en la ruta\u00a0\/etc\/httpd\/conf.d\/varables.conf<\/b>\u00a0y modificar el fichero<\/p>\n
<\/p>\n\n\n\n
\n
fulano ALL = MANDATOSHTTPD<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior define que el usuario fulano puede utilizar los mandatos de la lista MANDATOSHTTPD desde cualquier anfitri\u00f3n.<\/p>\n
User_Alias.<\/h3>\n
<\/p>\n\n\n\n
\n
User_Alias USUARIOSHTTP = fulano, mengano, zutano<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior define una lista denominada\u00a0HTTPUSERS<\/b>, integrada por los usuarios fulano, mengano y zutano.<\/p>\n
<\/p>\n\n\n\n
\n
USUARIOSHTTP ALL = \/usr\/bin\/vim<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
La regla anterior define que los usuarios que conforman la lista\u00a0USUARIOSHTTP<\/b>\u00a0pueden utilizar el mandato vim desde cualquier anfitri\u00f3n.<\/p>\n
Host_Alias.<\/h3>\n
<\/p>\n\n\n\n
\n
Host_Alias HOSTSHTTPD = 192.168.0.25, 192.168.0.26, 192.168.0.23<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior define que la lista\u00a0HOSTSHTTPD<\/b>\u00a0est\u00e1 integrada por las 3 direcciones IP listadas anteriormente. Si adem\u00e1s se a\u00f1ade la siguiente regla:<\/p>\n
<\/p>\n\n\n\n
\n
USUARIOSHTTPD HOSTSHTTPD =  ADMINHTTPD<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior define que los usuarios de la lista\u00a0HTTPDUSERS<\/b>\u00a0pueden utilizar los mandatos listados en\u00a0ADMINHTTPD<\/b>solamente si est\u00e1n conectados desde las direcciones IP listadas en\u00a0HOSTSHTTPD<\/b>.<\/p>\n
Runas_Alias.<\/h3>\n
Si por ejemplo se quisiera que los usuarios de la lista\u00a0USUARIOSHTTP<\/b>\u00a0pudieran adem\u00e1s utilizar los mandatos ls, rm, chmod, cp, mv, mkdir, touch y vim como el usuarios juan, pedro y hugo, se requiere definir una lista para estos mandatos y otra para los aliases de usuarios alternos, y la regla correspondiente.<\/p>\n
<\/p>\n\n\n\n
\n
Runas_Alias CLIENTES1 = juan, pedro, hugo\r\nCmnd_Alias MANDATOSCLIENTES = \/bin\/ls, \\\r\n        \/bin\/rm, \\\r\n        \/bin\/chmod, \\\r\n        \/bin\/cp, \/bin\/mv, \\\r\n        \/bin\/mkdir, \\\r\n        \/bin\/touch, \\\r\n        \/usr\/bin\/vim\r\nUSUARIOSHTTPD HOSTSHTTPD = (CLIENTES1) MANDATOSCLIENTES<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior permite a los usuarios definidos en\u00a0USUARIOSHTTPD<\/b>\u00a0(fulano, mengano y zutano), utilizar los mandatos definidos en\u00a0MANDATOSCLIENTES<\/b>\u00a0(ls, rm, chmod, cp, mv, mkdir, touch y vim) identific\u00e1ndose como los usuarios definidos en\u00a0CLIENTES1<\/b>\u00a0(juan, pedro y hugo) solamente si se realiza desde las direcciones IP listadas enHOSTSHTTPD<\/b>\u00a0(192.168.0.25, 192.168.0.26, 192.168.0.23).<\/p>\n
Candados de seguridad.<\/h2>\n
Sudo incluye varios candados de seguridad que impiden se puedan realizar tareas peligrosas.<\/p>\n
Si se define el mandato\u00a0\/usr\/bin\/vim<\/b>\u00a0en\u00a0\/etc\/sudoers<\/b>, se podr\u00e1 hacer uso de \u00e9ste de los siguientes modos:<\/p>\n
<\/p>\n\n\n\n
\n
$ sudo \/usr\/bin\/vim\r\n$ sudo vim<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Sin embargo, no podr\u00e1 ser utilizado as\u00ed:<\/p>\n
<\/p>\n\n\n\n
\n
$ cd \/usr\/bin\r\n$ sudo .\/vim<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Si se define el mandato\u00a0\/bin\/echo<\/b>, el usuario podr\u00e1 utilizarlo de los siguientes modos:<\/p>\n
<\/p>\n\n\n\n
\n
$ sudo \/bin\/echo \"Hola\"\r\n$ sudo echo \"Hola\"<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Pero no podr\u00e1 utilizarlo de la siguiente forma:<\/p>\n
<\/p>\n\n\n\n
\n
$ sudo echo \"Hola\" > algo.txt<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Para poder realizar la operaci\u00f3n anterior, tendr\u00eda que utilizar:<\/p>\n
<\/p>\n\n\n\n
\n
$ sudo bash -c \"echo 'Hola' > algo.txt\"<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Sudo le permitir\u00e1 realizar una tarea sobre cualquier fichero dentro de cualquier directorio a\u00fan si no tiene permisos de acceso para ingresar a dicho directorio siempre y cuando especifique\u00a0la ruta exacta<\/b>\u00a0de dicho fichero.<\/p>\n
<\/p>\n\n\n\n
\n
$ sudo chown named \/var\/named\/dominio.zone<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Pero no podr\u00e1 utilizarlo as\u00ed:<\/p>\n
<\/p>\n\n\n\n
\n
$ sudo chown named \/var\/named\/*.zone<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo que no se recomienda.<\/h2>\n
Si se quiere permitir a un usuario utilizar\u00a0lo que sea<\/b>, desde cualquier anfitri\u00f3n, c\u00f3mo cualquier usuario del sistema y\u00a0sin necesidad de autenticar<\/b>, se puede simplemente definir:<\/p>\n
<\/p>\n\n\n\n
\n
fulano ALL = (ALL) NOPASSWD: ALL<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Facilitando la vida a trav\u00e9s de ~\/.bash_profile.<\/h2>\n
BASH (B<\/b>ourne-A<\/b>gain\u00a0Sh<\/b>ell) permite utilizar variables de entorno y aliases definidas en\u00a0~\/.bash_profile<\/b>\u00a0al iniciar la sesi\u00f3n, siendo que el administrador utilizar\u00e1 activamente muchos mandatos diversos, estos se pueden simplificar a trav\u00e9s de aliases que resuman \u00e9stos. Por ejemplo, si se quiere definir que se utilice sudo cada vez que se invoque al mandatochkconfig<\/b>, se puede a\u00f1adir lo siguiente al fichero\u00a0~\/.bash_profile<\/b>:<\/p>\n
<\/p>\n\n\n\n
\n
alias chkconfig=\"sudo \/sbin\/chkconfig\"<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Lo anterior permitir\u00e1 ejecutar directamente el mandato\u00a0chkconfig<\/b>\u00a0sin necesidad de preceder \u00e9ste con el mandato\u00a0sudo<\/b>. A continuaci\u00f3n s\u00f3 diversos aliases que pueden ser de utilidad en el fichero\u00a0~\/.bash_profile<\/b>\u00a0y que permitir\u00e1n utilizar mandatos diversos con sudo.<\/p>\n
<\/p>\n\n\n\n
\n
# .bash_profile\r\n\r\n# Get the aliases and functions\r\nif [ -f ~\/.bashrc ]; then\r\n        . ~\/.bashrc\r\nfi\r\n\r\n# User specific environment and startup programs\r\n\r\nPATH=$PATH:$HOME\/bin:\/sbin:\/usr\/sbin<\/b>\r\n\r\nexport PATH\r\nunset USERNAME\r\n\r\nalias chkconfig=\"sudo \/sbin\/chkconfig\"<\/b>\r\nalias service=\"sudo \/sbin\/service\"<\/b>\r\nalias route=\"sudo \/sbin\/route\"<\/b>\r\nalias depmod=\"sudo \/sbin\/depmod\"<\/b>\r\nalias ifconfig=\"sudo \/sbin\/ifconfig\"<\/b>\r\n\r\nalias chmod=\"sudo \/bin\/chmod\"<\/b>\r\nalias chown=\"sudo \/bin\/chown\"<\/b>\r\nalias chgrp=\"sudo \/bin\/chgrp\"<\/b>\r\nalias useradd=\"sudo \/usr\/sbin\/useradd\"<\/b>\r\nalias userdel=\"sudo \/usr\/sbin\/userdel\"<\/b>\r\nalias groupadd=\"sudo \/usr\/sbin\/groupadd\"<\/b>\r\nalias groupdel=\"sudo \/usr\/sbin\/groupdel\"<\/b>\r\nalias edquota=\"sudo \/usr\/sbin\/edquota\"<\/b>\r\nalias vi=\"sudo \/usr\/bin\/vim\"<\/b>\r\n\r\nalias less=\"sudo \/usr\/bin\/less\"<\/b>\r\nalias tail=\"sudo \/usr\/bin\/tail\"<\/b>\r\nalias yum=\"sudo \/usr\/bin\/yum\"<\/b>\r\nalias saslpasswd2=\"sudo \/usr\/sbin\/saslpasswd2\"<\/b>\r\nalias htpasswd=\"sudo \/usr\/bin\/htpasswd\"<\/b>\r\nalias openssl=\"sudo \/usr\/bin\/openssl\"<\/b>\r\nalias system-config-printer=\"sudo \/usr\/sbin\/system-config-printer\"<\/b>\r\nalias system-config-network=\"sudo \/usr\/sbin\/system-config-network\"<\/b>\r\nalias system-config-display=\"sudo \/usr\/bin\/system-config-display\"<\/b>\r\n\r\n<\/pre>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n
<\/center><\/p>\n
Para que surtan efectos los cambios, hay que salir de la sesi\u00f3n y volver a ingresar al sistema con la misma cuenta de usuario, en cuyo fichero\u00a0~\/.bash_profile<\/b>\u00a0se a\u00f1adieron estos aliases.<\/p>\n
Centos<\/h5>\n
Fedora<\/h5>\n
Mandriva<\/h5>\n
Ubuntu<\/h5>\n
Kubuntu<\/h5>\n
Debian<\/h5>\n
Fuente:<\/p>\n
http:\/\/unidadlocal.com<\/p>\n","protected":false},"excerpt":{"rendered":"
Introduction. Sudo is a system tool that allows users to execute commands as superuser or another user according to how it is specified in the \/ etc \/ sudoers file, where it is determined who is authorized. The actual and effective user and group identity numbers (UID and GID) are set to equal ...<\/p>","protected":false},"author":20,"featured_media":31846,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2024],"tags":[],"class_list":["post-31845","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-linux"],"jetpack_featured_media_url":"https:\/\/webirix.com\/wp-content\/uploads\/2014\/08\/ok.jpg","_links":{"self":[{"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/posts\/31845","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/users\/20"}],"replies":[{"embeddable":true,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/comments?post=31845"}],"version-history":[{"count":1,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/posts\/31845\/revisions"}],"predecessor-version":[{"id":31847,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/posts\/31845\/revisions\/31847"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/media\/31846"}],"wp:attachment":[{"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/media?parent=31845"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/categories?post=31845"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webirix.com\/en\/wp-json\/wp\/v2\/tags?post=31845"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}