Como la mayoría de las cosas en Linux, el comando sudo es muy configurable. Puede indicar a sudo que ejecute comandos específicos sin requerir una contraseña, restringir usuarios específicos a solo comandos aprobados, registrar comandos ejecutados con sudo, etc.
El comportamiento del comando sudo está controlado por el archivo / etc / sudoers en su sistema. Este comando debe cambiarse con el comando visudo, que realiza una verificación de sintaxis para asegurarse de no romper el archivo accidentalmente.
Especificar usuarios con permisos de Sudo
La cuenta de usuario que crea al instalar Ubuntu está marcada como una cuenta de administrador, lo que significa que puede usar sudo. Las cuentas de usuario adicionales que cree después de la instalación pueden ser cuentas de administrador o de usuario estándar: las cuentas de usuario estándar no tienen permisos de sudo.
Puede controlar los tipos de cuentas de usuario gráficamente desde la herramienta Cuentas de usuario de Ubuntu. Para abrirlo, haga clic en su nombre de usuario en el panel y seleccione Cuentas de usuario o busque Cuentas de usuario en el panel.
Haz que Sudo olvide tu contraseña
De forma predeterminada, sudo recuerda su contraseña durante 15 minutos después de escribirla. Por lo tanto, solo necesita ingresar su contraseña una vez cuando ejecute múltiples comandos con sudo en rápida sucesión. Si está a punto de permitir que otra persona use su computadora y desea que sudo le pida la contraseña la próxima vez que la ejecute, ejecute el siguiente comando y sudo olvidará su contraseña:
sudo –k
Siempre pide una contraseña
Si prefiere que se le pregunte cada vez que use sudo, por ejemplo, si otras personas tienen acceso regular a su computadora, puede desactivar completamente el comportamiento de recordar contraseñas.
Este parámetro, como los otros parámetros de sudo, está contenido en el archivo / etc / sudoers. Ejecute el comando visudo en una terminal para abrir el archivo a editar:
sudo visudo
A pesar del nombre, este comando tiene como valor predeterminado el nuevo editor nano fácil de usar en lugar del editor vi tradicional en Ubuntu.
Agregue la siguiente línea debajo de las otras líneas predeterminadas en el archivo:
Timestamp_timeout predeterminado = 0
Presione Ctrl + O para guardar el archivo, luego presione Ctrl + X para cerrar Nano. Sudo ahora siempre te pedirá una contraseña.
Cambiar el tiempo de caducidad de la contraseña
Para establecer un tiempo de espera de contraseña diferente, más largo como 30 minutos o más corto como 5 minutos, siga los pasos anteriores pero use un valor diferente para timestamp_timeout. El número es la cantidad de minutos que sudo recordará su contraseña. Para que sudo recuerde su contraseña durante 5 minutos, agregue la siguiente línea:
Timestamp_timeout predeterminado = 5
Nunca pida una contraseña
También puede decirle a sudo que nunca solicite una contraseña; siempre que esté conectado, cualquier comando que prefiera con sudo se ejecutará con permisos de root. Para hacer esto, agregue la siguiente línea a su archivo sudoers, donde username es su nombre de usuario:
nombre de usuario TODOS = (TODOS) NOPASSWD: TODOS
Vous pouvez également modifier la ligne %sudo – c’est-à-dire la ligne qui permet à tous les utilisateurs du groupe sudo (également appelés utilisateurs administrateurs) d’utiliser sudo – pour que tous les utilisateurs administrateurs n’aient pas besoin de contraseña :
% sudo TODOS = (TODOS: TODOS) NOPASSWD: TODOS
Ejecuta comandos específicos sin contraseña
También puede especificar comandos específicos que nunca requerirán una contraseña cuando se ejecuten con sudo. En lugar de utilizar «TODOS» después de NOPASSWD anterior, especifique la ubicación de los comandos. Por ejemplo, la siguiente línea permitirá que su cuenta de usuario ejecute los comandos apt-get y shutdown sin una contraseña.
nombre de usuario TODOS = (TODOS) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Esto puede ser especialmente útil cuando se ejecutan comandos específicos con sudo en un script.
Permitir que un usuario ejecute solo comandos específicos
Si bien puede incluir en la lista negra comandos específicos y evitar que los usuarios los ejecuten con sudo, esto no es muy efectivo. Por ejemplo, puede especificar que una cuenta de usuario no pueda ejecutar el comando de apagado con sudo. Pero esa cuenta de usuario puede ejecutar el comando cp con sudo, crear una copia del comando shutdown y apagar el sistema usando la copia.
Una forma más eficiente es agregar comandos específicos a la lista blanca. Por ejemplo, puede otorgar permiso a una cuenta de usuario estándar para usar los comandos apt-get y shutdown, pero no más. Para hacer esto, agregue la siguiente línea, donde standarduser es el nombre de usuario del usuario:
usuario estándar TODOS = / usr / bin / apt-get, / sbin / shutdown
El siguiente comando nos dirá qué comandos puede ejecutar el usuario con sudo:
sudo -U standarduser –l
Conexión Sudo Access
Puede registrar todos los accesos a sudo agregando la siguiente línea. / var / log / sudo es solo un ejemplo; puede utilizar cualquier ubicación de archivo de registro que desee.
Archivo de registro predeterminado = / var / log / sudo
Vea el contenido del archivo de registro con un comando como este:
sudo cat / var / log / sudo
Tenga en cuenta que si un usuario tiene acceso sudo sin restricciones, ese usuario tiene la opción de eliminar o editar el contenido de ese archivo. Un usuario también puede acceder a un indicador de root con sudo y ejecutar comandos que no se registrarían. La función de registro es particularmente útil cuando se asocia con cuentas de usuario que tienen acceso restringido a un subconjunto de comandos del sistema.