From Mageia wiki
Jump to: navigation, search


Drakconf multiflag.png
Outros idiomas
Deutsch ; English ; Français ; português brasileiro
Sinopse:
Como configurar o sudo para o Mageia Linux


Introdução

Este documento apresenta uma maneira simples de configurar o comando sudo no Mageia.

Se deseja saber o que é o sudo, consulte a página do manual: man sudo [6] . Também há uma descrição na Wikipedia [1] .


Benefícios

Os benefícios de configurar o sudo como mostrado nesta página são:

  1. É muito simples de implementar.
  2. Os usuários podem obter privilégios sudo simplesmente adicionando-os ao grupo wheel (ou, inversamente, os privilégios sudo podem ser removidos ao retirá-los do grupo wheel).
  3. Não há necessidade de compartilhar a senha do root. Assim, a senha do root pode ser alterada sem impactar os membros do grupo wheel que têm privilégios sudo.
  4. Os usuários do grupo wheel devem digitar sua própria senha para obter privilégios sudo. O acesso sem senha não é permitido, o que melhora a segurança.


Passo 1: Certifique-se de que o sudo está instalado (e, se não estiver, instale-o)

Verifique se o RPM do sudo está instalado:

$ rpm -q sudo > /dev/null && echo sudo está instalado || echo sudo NÃO instalado
sudo está instalado

Se vir a mensagem "sudo NÃO instalado", será necessário instalá-lo (como root), por exemplo::

$ urpmi sudo
$MIRRORLIST: media/core/updates/sudo-1.9.5p2-2.1.mga8.x86_64.rpm instalando sudo-1.9.5p2-2.1.mga8.x86_64.rpm depuis /var/cache/urpmi/rpms Preparando... ##################################################### 1/1: sudo #####################################################


Passo 2: Configurar o sudo

É possível configurar o sudo de várias maneiras. Você pode, por exemplo, habilitar comandos específicos para grupos ou usuários específicos. Além disso, o sudo pode ser usado para executar comandos como qualquer usuário ou membro de qualquer grupo. Não se limita apenas ao acesso root. Tais configurações estão além do escopo desta página wiki. Consulte a página do manual do sudo [6] para mais detalhes.

Aqui, configuraremos o sudo para que qualquer usuário no grupo wheel possa usá-lo para obter privilégios de root.
Quando um usuário que é membro do grupo wheel executa um comando sudo, por exemplo. /bin/sudo -i, será solicitado que ele digite sua própria senha. Isso melhora a segurança, pois exige uma senha para obter privilégios de root.

Isso também significa que o usuário, sendo membro do grupo wheel, não precisa saber a senha do root. Na verdade, a senha do root pode ser alterada pelo administrador do sistema, e isso não impede os membros do grupo wheel de usar o sudo para obter privilégios de root.

O arquivo de configuração do sudo pode ser editado usando o comando visudo.

No entanto, podemos evitar a edição do longo e complexo arquivo de configuração do sudo (/etc/sudoers [7] ) para habilitar o grupo wheel, simplesmente (como root) executando o seguinte:

  1. Crie o arquivo (o nome é livre e pode ser relacionado ao seu conteúdo, por exemplo, 01wheel) para permitir que os membros do grupo wheel acessem o root via sudo.
  2. Execute os seguintes comandos como root:
# echo "%wheel ALL=(ALL) ALL" > /etc/sudoers.d/01wheel && chmod 440 /etc/sudoers.d/01wheel


Uma explicação detalhada sobre o motivo de os arquivos no diretório /etc/sudoers.d/ serem nomeados dessa maneira pode ser encontrada na página manual do arquivo sudoers:

$ man sudoers

Usando o comando man, procure por "etc/sudoers.d" precedido de um sinal "/" digitando: /etc/sudoers.d

Passo 3: Adicionar usuários ao grupo wheel para conceder privilégios de root

É muito mais simples gerenciar a lista de usuários com acesso root simplesmente adicionando-os ou removendo-os de um grupo.
Historicamente, o grupo wheel tem sido utilizado para esse propósito em sistemas Unix e similares a Unix.

Você pode adicionar usuários a um grupo de três maneiras:

Método-1: Usando o Centro de Controle do Mageia

Sistema -> Gerenciar usuários no sistema -> selecionar usuário -> Editar -> para cada usuário, selecione os grupos e marque a opção correspondente ao grupo "wheel".


Método-2: Usando a interface de linha de comando

Autentique-se como root, edite o arquivo /etc/group e atualize a entrada do grupo wheel adicionando os nomes dos usuários como uma lista separada por vírgulas na entrada do grupo wheel.
No exemplo a seguir, os usuários ken [4] e dennis [5] foram adicionados ao grupo wheel.

Alterar de:

wheel:x:10:

Para:

wheel:x:10:ken,dennis

Método-3: adicionar novo usuário ao grupo wheel durante a instalação do Mageia

Ao instalar um novo sistema Mageia, há uma etapa durante o processo de instalação em que a senha do root é definida e novos usuários podem ser adicionados ao sistema.

Nessa etapa, ao adicionar um novo usuário, clique na seção Avançado onde você terá a oportunidade de adicionar o novo usuário ao grupo wheel (ou a outros grupos, conforme necessário).
Isso economiza tempo porque, uma vez que o sistema Mageia recém-instalado seja reiniciado, a conta de usuário poderá usar sudo para acessar o root no primeiro login.

Observação:
Esteja ciente de que, ao definir a senha do root durante a instalação do Mageia, o hash da senha do root é registrado em /root/drakx/auto_inst.cfg.pl. Veja também: [8] Isso é feito para permitir a clonagem automática da instalação concluída.
Para melhorar a segurança, é recomendável definir uma nova senha para o root no primeiro login após a instalação.

Passo 4: Usuários recém-adicionados ao grupo wheel podem precisar sair e entrar novamente

Se um usuário recém-adicionado ao grupo wheel já estava logado no sistema, ele precisará sair e entrar novamente para que o acesso ao sudo funcione. Caso o sudo ainda não funcione, verifique com atenção qualquer mensagem de erro exibida e revise o log do sistema para entender o problema e corrigi-lo.

Usando o sudo

Após instalar e configurar o sudo conforme mostrado aqui (acima), os usuários que são membros do grupo wheel podem usar sudo para executar comandos privilegiados do root.
Assim, seguindo o exemplo mostrado, há dois usuários habilitados para usar o comando sudo: ken [4] e dennis [5] .

Nota:
Usamos /bin/sudo em vez de apenas sudo para melhorar a segurança (veja tip 3 abaixo)


Exemplo 1 – para instalar todas as atualizações pendentes (aqui logado como o usuário ken [4] )

$ /bin/sudo urpmi --auto-update
[sudo] senha para ken:


Exemplo 2 – trocar para um shell de root (aqui logado como dennis [5] )

$ /bin/sudo -i
[sudo] senha para dennis: [root@att.com ~] #

Note que ao usar a opção -i inicia-se o shell de root no diretório inicial do root, como se estivesse logado como root, com o $PATH e o ambiente do shell configurados para o root.

Para finalizar o uso do shell de root (e retornar ao usuário anterior ao usar o sudo) basta digitar exit:

$ exit
[dennis@att.com ~] $ _

Dicas

dica 1: evite usar o root

Evite usar a conta root tanto quanto possível.
Se realmente precisar de privilégios de root, então use-os, mas é mais seguro evitar o uso desnecessário da conta root.

Especialmente: evite rodar um ambiente de desktop (como KDE, GNOME, XFCE, LXDE, MATE) como root.
Não há necessidade de executar tarefas do ambiente de desktop como root. Cada ambiente de desktop criará muitos arquivos e subdiretórios em ${HOME}.
É mais seguro e melhor manter o ${HOME} do root o mais minimalista possível.

Ao executar o Centro de Controle do Mageia (Drakconf): se for necessário acessar o root, você será solicitado a inserir a senha.


dica 2: com terminal com abas, mantenha uma aba para root

Se você usar um terminal com abas (por exemplo, o mate-terminal), é conveniente abrir uma aba como shell de root e outras abas como não-root.
Isso economiza tempo de troca entre root e usuário, pois você pode simplesmente selecionar em qual aba do terminal deseja trabalhar.


dica 3: sempre use o caminho completo para comandos que solicitam senha

Em vez de usar o comando sudo, faça o hábito de usar o comando /bin/sudo. (Isso também se aplica ao uso de /bin/su em vez de apenas su.)

Por quê? Para qualquer comando que solicite uma senha, usar o caminho completo é mais seguro (do que apenas o nome do comando).

Uma técnica usada por hackers é explorar sua confiança de que, ao digitar sudo, você acredita que está executando o verdadeiro sudo.
Se um hacker conseguir acessar sua conta, então seu $PATH pode ser modificado para rodar um sudo falsificado que captura sua senha digitada, imprime uma mensagem de erro e, em seguida, executa o verdadeiro sudo.
O usuário pensa: "Ah, eu digitei a senha errada. Vou digitar novamente!!".


dica 4: monitore o uso do sudo

O arquivo de log do sudo é /var/log/sudo.log.

Dê uma olhada no arquivo de log de tempos em tempos para entender qual é a atividade "normal" do sudo no seu sistema. Observe os valores de data/hora e TTY no log. Preste atenção em entradas de log estranhas ou incomuns. Por exemplo, sudo executado em um momento em que você não estava usando a máquina ou a partir de um TTY normalmente não usado.

Apêndice-1: Referências

ref. nº title link
[1] Página do sudo na Wikipédia https://pt.wikipedia.org/wiki/Sudo
[2] sudo em pequenas palavras http://www.sudo.ws/sudo/intro.html
[3] sudo sandwich http://xkcd.com/149/
[4] Ken Thomson https://pt.wikipedia.org/wiki/Ken_Thompson
[5] Dennis Ritchie https://pt.wikipedia.org/wiki/Dennis_Ritchie
[6] sudo man page https://man.archlinux.org/man/sudo.8
[7] /etc/sudoers file https://man.archlinux.org/man/sudoers.5
[8] Mageia bug 31397 https://bugs.mageia.org/show_bug.cgi?id=31397


Retornar ao topo

































Retornar ao topo