Configuração do sudo (Ubuntu, Debian e derivados)

Continuando post anterior, sobre senhas pré-configuradas em instalações OEM, vou ensinar agora a configurar o “sudo” para sempre pedir uma senha.

Para que o “sudo” seja seguro, isto é, para que ele execute comandos como “root” após pedir uma senha, seja a do usuário logado, seja a do próprio “root”, a configuração do arquivo “/etc/sudoers” deve estar parecida com isto:

# User privilege specification
root ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

Na configuração acima, o “root”, os membros do grupo “admin” (representado pela sintaxe “%admin”)  e do próprio grupo “sudo” (representado pela sintaxe “%sudo”) podem usar o “sudo” com as respectivas senhas, pois para usá-lo sem uma senha a configuração estaria assim:

%admin ALL=NOPASSWD:ALL

%sudo ALL=NOPASSWD:ALL

E se o benefício fosse de um usuário determinado (“oem” e “user”, que costumam ser os logins utilizados numa instalação OEM), assim:

oem ALL=NOPASSWD:ALL

user ALL=NOPASSWD:ALL

Portanto, para que seja pedida a senha sempre, troque “NOPASSWD:ALL” por “(ALL) ALL” ou “(ALL:ALL) ALL” (sempre com um espaço após o fecha-parênteses) no arquivo “/etc/sudoers”, que, de preferência, deve ser editado com o comando:

sudo visudo

Se não quiser editar o arquivo com o vi, faça isso:

sudo apt-get install nano #caso o nano não esteja instalado
sudo update-alternatives --config editor #scolha o número do "nano", ou o do "/bin/nano"
sudo visudo

Se a senha do “root” ainda não foi criada ou trocada para uma que vocês conhecem (vejam o post anterior), aconselho que ela seja antes da edição do “/etc/sudoers”. É melhor ter o “root” disponível para consertar um eventual “sudo” travado.

Anúncios

Sobre pinduvoz

Advogado por profissão, entusiasta do SL por opção.
Esse post foi publicado em Linux em geral e marcado , , , , . Guardar link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s