PrincipalBlogsint-0's blog

sudoers (o cómo evitar que sudo te pida contraseña)

Vie, 2007-05-04 20:50 — int-0
seguridad

Hace tiempo, hubo una actualización en Sid que hizo que sudo volviese a pedirnos la contraseña de usuario. Si, vale que sea muy seguro, pero también es más rollo... vamos a volver a dejar las cosas como estaban y de paso nos asomaremos al fichero /etc/sudoers que tan buena pinta tiene.

Usuarios sudoers

Lo primero que tenemos que hacer para poder usar sudo es hacer al usuario sudoer, tan fácil como añadirlo al grupo; modificamos el archivo /etc/group:

sudo:x:27:tobias

...y ya tenemos que el usuario tobias es sudoer (que puede ejecutar sudo, vaya... Sticking out tongue) Ahora sólo hay que establecerle unos privilegios en el uso de sudo, esto lo tenemos en el archivo /etc/sudoers, que tiene unos permisos "especiales" que hay que cambiar para editarlo y luego volver a reestablecer, o símplemente ejecutamos:
$ visudo

Y añadiremos lo siguiente:

# User privilege specification
root    ALL=(ALL) ALL
tobias ALL=(ALL) ALL

El usuario tobias ya puede ejecutar sudo con total tranquilidad...

Configuración de sudo

Ahora nos pasa lo siguiente, si hacemos:

# sudo su

Nos pide la password del usuario, pues vale, vaya tontuna, para eso ejecuto directamente su y pongo la password del administrador y es lo mismo. Pues hombre, en un principio si, porque por seguridad se modificaron los privilegios por defecto de sudo para que ocurriera.

Vamos a hacer nuestro sistema un poco más inseguro (sobre todo a usuarios con acceso físico a la consola) pero más cómodo de usar... es decir: vamos a modificar los privilegios por defecto para que no se requiera la autentificación, editamos otra vez /etc/sudoers (ya sabéis, con visudo) y añadimos lo siguiente:

Defaults !authenticate

Y ya está... tenemos el sudo de siempre... Sticking out tongue

Referencias

# man sudoers

Comentarios

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.
Mié, 2012-01-25 00:40 — david.villa
Imagen de david.villa

sudo de grano fino

Algo más interesante es poder decidir para qué comandos queremos que sudo pida la clave y para cuáles no. Con el siguiente fichero sudoers, los miembros del grupo “sudo” podrán ejecutar los comandos aptitude y dpkg sin tener que poner nunca la clave. Para todos los demás, sudo se comportará de la forma habitual.

Defaults        env_reset, insults
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults        timestamp_timeout=15
 
Cmnd_Alias APT = /usr/bin/aptitude, /usr/bin/dpkg
%sudo   ALL = ALL, NOPASSWD: APT

Y además te insulta si pones mal la clave Smiling aunque la opción timestamp_timeout es más interesante, que indica cuando tiempo (en min) se cacheará la clave. El valor por defecto es 5. Un valor de 0 significa que pida la clave siempre y un valor negativo que no la vuelva a pedir.

No soy portavoz de ningún colectivo, grupo o facción. Mi opinión es personal e intransferible.

Sáb, 2008-02-09 12:10 — Lk2
Imagen de Lk2

Otra forma

Alternativa a la forma anterior:

Se añade al fichero la línea:

%sudo ALL=NOPASSWD: ALL

Con ello todos los usuarios del grupo sudo ya no tienen que poner más la contraseña

Sáb, 2008-02-09 23:03 — Lk2
Imagen de Lk2

Mejor no

Mejor no intentéis esta segunda forma porque la probé y creí que funcionaba… pero no, craso error, no había pasado el tiempo suficiente desde mi último sudo y por eso creí haber encontrado otra solución.

Disculpas