Xterm que pertenezca al usuario pero por supuesto root también
petronella, necesita extraer una clave puede hacerlo sin sudo. Si necesita desde .Xauthority, añadirla al .Xau- conceder a otro usuario privilegios de thority del administrador y entonces root sin restricciones en una redefinir la variable DISPLAY (véase máquina, simplemente copie esta el Listado 1). línea y sustituya root por el nombre su también le permite usar otra de ese usuario. Después de salvar el cuenta para lanzar una sola orden. archivo, este usuario podrá ejecutar Para hacer esto, indique la opción -c Figura 1: Sin el apropiado ingreso en el sistema, no tiene órdenes de administración mediante (--command): ningún privilegio. sudo, por ejemplo:
huhn@asteroid:~$ su -c"lessU que el nombre sugiere: “sudo” es la huhn@asteroid:~$ sudoU
/var/log/messages" abreviatura de “substitute user, do” /sbin/shutdown Password: (sustituye el usuario, haz) y facilita a Password: usuarios individuales o grupos los privi- El uso de la orden su se anota en la bitá- legios administrativos por un período Si no se permite al usuario usar sudo, cora (log). En función de la distribución limitado y limitándose a una tarea aparecerá un mensaje como este: “sudo: que use, esas entradas de bitácora se especifica. Un usuario puede entonces huhn is not in the sudoers file. This inci- localizaran en /var/log/auth.log (p. e. en simplemente teclear su propia con- dent will be reported.” (sudo: huhn no Debian) o en /var/log/messages (p. e. en traseña para lanzar una orden privilegia- está en el archivo sudoers. Se informará Suse Linux). Los intentos inválidos son da. de este suceso). La medida predetermina- fácilmente localizados, permitiendo al El usuario admin necesita crear una da, que puede ser cambiada en usuario admin ver rápidamente quien ha lista de usuario autorizados a ejecutar /etc/sudoers, es enviar un correo alertan- intentado apropiarse indebidamente de ordenes especificas privilegiadas en el do al administrador con los detalles del los privilegios de root archivo /etc/sudoers. Mientras trabaja usuario que ha intentado lanzar sudo como root, edite el archivo con la orden (véase la Figura 2). Para estar seguros, Dec 22 14:50:50 asteroidU visudo. este programa ofrece las carac- los usuarios sin privilegios pueden PAM_unix[2108]: authenticationU terísticas habituales del editor vi con teclear sudo -l para mostrar una lista de failure; algunas funciones adicionales. visudo las ordenes permitidas. (uid=500) -> root for su service “bloquea” el fichero /etc/sudoers para Dec 22 14:50:52 asteroidU evitar que sea editado por multiples Control Minucioso su[2108]: pam_authenticate:U usuarios a la vez. Además visudo com- La sección Host alias specification de Authentication failure prueba la sintaxis del fichero al terminar /etc/sudoers le permite especificar las Dec 22 14:50:52 asteroidU y le informa de cualquier error si lo máquinas donde las ordenes específi- su[2108]: - pts/8 huhn-root encuentra: cas de sudo deben aplicarse. Podemos utilizar el Host_Alias para crear un Si es el usuario admin, no necesita intro- >>> sudoers file: syntaxU grupo de ordenadores mediante la ducir una contraseña después de teclear error, line 20 <<< especificación de sus nombre o la orden su. Usted puede asumir What now? definiendo un rango de direcciones IP. cualquier identidad para probar rápida- Esta característica solamente tiene mente una modificación desde la pers- Dispone de tres alternativas: pulsar e sentido si aplicamos una configu- pectiva de otro usuario. para editar el fichero de nuevo, x para ración centralizada de sudo en múlti- cancelar los cambios y salir del editor o ples ordenadores. sudo Q para salvar los cambios a pesar del La sección User_Alias le permite crear La orden sudo le permite evitar dar a error. grupos que necesiten los mismos privile- conocer la contraseña de root de una Hay una entrada predeterminada para gios. Primero definimos el tipo de alias máquina, lo cual es comprensible por root ALL=(ALL) ALL en /etc/sudoers. (p. e. User_Alias), después un nombre motivos de seguridad. La orden realiza lo Esto permite hacer todo al usuario root, de alias (que puede contener mayúscu- las, subrayados y números), un mapeo indicado por el signo “=” y finalmente GLOSARIO los nombres de usuario separados por comas. Vamos agregar los usuarios huhn UID: Cada usuario se identifica mediante un UID (“User IDentification number”), que lo mapea de manera única a la cuenta del usuario. Puede encontrar fácilmente su propio ID tecleando “echo y petronella a un grupo que se le permite $UID” parar la máquina: GID: Además del UID, los usuarios tienen un GID (“Group IDentification number”) que indica su pertenencia a un grupo. Los miembros de un grupo pueden compartir privilegios. La orden “id” # User alias specification indica su UID y su GID actual. User_Alias SHUTTERSDOWN=U petronella,huhn