Sudoers: Exemplos de uso e configuração da saída de log
Publicado por Wesley de Toledo Costa em 16/07/2012
[ Hits: 12.699 ]
Sudoers: Exemplos de uso e configuração da saída de log
A intenção desta dica é ajudar a entender algumas formas de utilização do sudo através de permissões específicas dadas aos usuários pelo sudoers.
Passo I: Criar o arquivo onde será escrito o log do sudoers. Em meu caso, preferi criá-lo em "/var/log":
sudo touch /var/log/sudo.log
$ sudo chown root.root /var/log/sudo.log
Passo II: Entre no diretório /etc:
cd /etc
Edite o sudoers, preferencialmente, através do comando visudo, mas pode ser usado qualquer editor limpo. Digite:
sudo visudo
Ou:
sudo gedit /etc/sudoers
Será aberto um arquivo semelhante ao que virá a seguir. Exemplo:
Passo III: Editando o sudoers:
Abaixo, algumas mudanças de exemplo e o comentário no código para ajudar a entender.
Exemplo:
Exemplo:
Passo I: Criar o arquivo onde será escrito o log do sudoers. Em meu caso, preferi criá-lo em "/var/log":
sudo touch /var/log/sudo.log
$ sudo chown root.root /var/log/sudo.log
Passo II: Entre no diretório /etc:
cd /etc
Edite o sudoers, preferencialmente, através do comando visudo, mas pode ser usado qualquer editor limpo. Digite:
sudo visudo
Ou:
sudo gedit /etc/sudoers
Será aberto um arquivo semelhante ao que virá a seguir. Exemplo:
# /etc/sudoers
# This file MUST be edited with the 'visudo' command as root.
# See the man page for details on how to write a sudoers file.
Defaults env_reset # Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL) ALL
# Allow members of group sudo to execute any command after they have
# provided their password
# (Note that later entries override this, so you might need to move
# it further down)
%sudo ALL=(ALL) ALL
#includedir /etc/sudoers.d
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# This file MUST be edited with the 'visudo' command as root.
# See the man page for details on how to write a sudoers file.
Defaults env_reset # Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL) ALL
# Allow members of group sudo to execute any command after they have
# provided their password
# (Note that later entries override this, so you might need to move
# it further down)
%sudo ALL=(ALL) ALL
#includedir /etc/sudoers.d
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
Passo III: Editando o sudoers:
Abaixo, algumas mudanças de exemplo e o comentário no código para ajudar a entender.
Exemplo:
# /etc/sudoers
# This file MUST be edited with the 'visudo' command as root. See the man page for details on how to write a sudoers file.
Defaults env_reset
# User alias specification: cria apelido para usar as regras de permissões para vários usuários sem ter que repetir a regra para todos
User_alias ADM = operacao, suporte01
# Cmnd alias specification: cria um apelido para determinado que usuário possa usar um grupo de comandos.
Cmnd_Alias COMANDO = /sbin/ifconfig, /bin/df, /bin/ps
# Usuários e seus privilégios
# sintaxe: usuário - host onde o usuário tem permissão para executar o comando – (com quais usuários pode operacionalizar o comando) – quais comando pode tem permissão de usar.
#usuario root e wesley terão permissão total
root ALL=(ALL) ALL
wesley ALL=(ALL) ALL
# os usuários operação e suporte01 poderão utilizar o mount ADM ALL=(ALL) /sbin/mount
#usuário estagiários poderão apenas desligar a máquina, mas não será necessário digitar a senha por causa NOPASSWD
estagiarios ALL=(ALL) NOPASSWD: /sbin/shutdown
# o usuário alfa poderá usar os comandos criados no Alias COMANDO
alfa ALL=(ALL) COMANDO
# Allow members of group sudo to execute any command after they have provided their password (Note that later entries override this, so you might need to move it further down)
%sudo ALL=(ALL) ALL
# Definir o arquivo de Log: a linha abaixo escreve os logs de tudo que foi utilizado com o comando sudo
Defaults logfile=/var/log/sudo.log
###FIM DO ARQUIVO
# This file MUST be edited with the 'visudo' command as root. See the man page for details on how to write a sudoers file.
Defaults env_reset
# User alias specification: cria apelido para usar as regras de permissões para vários usuários sem ter que repetir a regra para todos
User_alias ADM = operacao, suporte01
# Cmnd alias specification: cria um apelido para determinado que usuário possa usar um grupo de comandos.
Cmnd_Alias COMANDO = /sbin/ifconfig, /bin/df, /bin/ps
# Usuários e seus privilégios
# sintaxe: usuário - host onde o usuário tem permissão para executar o comando – (com quais usuários pode operacionalizar o comando) – quais comando pode tem permissão de usar.
#usuario root e wesley terão permissão total
root ALL=(ALL) ALL
wesley ALL=(ALL) ALL
# os usuários operação e suporte01 poderão utilizar o mount ADM ALL=(ALL) /sbin/mount
#usuário estagiários poderão apenas desligar a máquina, mas não será necessário digitar a senha por causa NOPASSWD
estagiarios ALL=(ALL) NOPASSWD: /sbin/shutdown
# o usuário alfa poderá usar os comandos criados no Alias COMANDO
alfa ALL=(ALL) COMANDO
# Allow members of group sudo to execute any command after they have provided their password (Note that later entries override this, so you might need to move it further down)
%sudo ALL=(ALL) ALL
# Definir o arquivo de Log: a linha abaixo escreve os logs de tudo que foi utilizado com o comando sudo
Defaults logfile=/var/log/sudo.log
###FIM DO ARQUIVO
Exemplo do Log gerado
sudo more /var/log/sudo.logExemplo:
Jul 10 17:56:34 : wesley : TTY=pts/1 ; PWD=/var/log ; USER=root ;
COMMAND=/usr/bin/apt-get update -y
Jul 10 18:00:49 : wesley : TTY=unknown ; PWD=/home/wesley ; USER=root ;
COMMAND=/usr/sbin/synaptic --hide-main-window --non-interactive
--parent-window-id 75497511 -o Synaptic::closeZvt=true --progress-str Please
wait, this can take some time. --finish-str Update is complete
--set-selections-file /tmp/tmpgEdgGm
Jul 10 18:36:12 : wesley : TTY=unknown ; PWD=/home/wesley ; USER=root ;
COMMAND=/usr/sbin/synaptic --hide-main-window --non-interactive
--parent-window-id 75497511 --update-at-startup
Jul 10 19:34:48 : wesley : TTY=pts/1 ; PWD=/etc ; USER=root ;
COMMAND=/usr/bin/vi sudoers
Jul 10 19:35:26 : wesley : TTY=pts/1 ; PWD=/etc ; USER=root ; COMMAND=/usr/sbin/visudo
Jul 10 19:44:39 : wesley : TTY=pts/1 ; PWD=/etc ; USER=root ; COMMAND=/usr/sbin/visudo
Jul 10 20:20:51 : wesley : TTY=pts/1 ; PWD=/etc ; USER=root ; COMMAND=/usr/bin/clear
Jul 10 20:21:04 : wesley : TTY=pts/1 ; PWD=/etc ; USER=root ; COMMAND=/bin/more /var/log/sudo.log
Outras dicas deste autor
Criando atalhos no menu em dois métodos no Debian7
Microsoft Office 2007 funcionando perfeitamente com Wine
Instalar VirtualBox no CentOS 5
Instalar Acrobat Reader Ubuntu
Leitura recomendada
GRUB 2 Ubuntu 14.04 - Editando nome, sistema default e tempo de boot
Painel Lançador do Ubuntu 12.10 - Como adicionar/remover aplicativos manualmente
Athansic Ethernet L2 Mbit no Linux
Alterando o IP de sua placa de rede no Slackware 10 com um único comando
Instalando e iniciando o Blackbox
Comentários
[1] Comentário enviado por marcelo.castro.l em 17/07/2012 - 08:34h
Muito boa essa dica.
Estava com problemas ao tentar executar um comando web que necessitava que este fosse com super usuario.
Bastei editar esse arquivo conforme a dica e tudo correu as mil maravilhas.
Muito obrigado!
Muito boa essa dica.
Estava com problemas ao tentar executar um comando web que necessitava que este fosse com super usuario.
Bastei editar esse arquivo conforme a dica e tudo correu as mil maravilhas.
Muito obrigado!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Dicas
Como realizar um ataque de força bruta para desobrir senhas?
Como usar Gpaste no ambiente Cinnamon
Atualizando o Fedora 42 para 43
Tópicos
Scripts ou binários [RESOLVIDO] (3)
VOL já não é mais como antes? (10)
Pergunta: Meu teclado não está respondendo direito como e consertar? ... (4)
Top 10 do mês
-
Xerxes
1° lugar - 116.347 pts -
Fábio Berbert de Paula
2° lugar - 86.512 pts -
Mauricio Ferrari
3° lugar - 25.114 pts -
Alberto Federman Neto.
4° lugar - 24.923 pts -
edps
5° lugar - 22.886 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 21.529 pts -
Buckminster
7° lugar - 20.652 pts -
Daniel Lara Souza
8° lugar - 20.627 pts -
Andre (pinduvoz)
9° lugar - 19.005 pts -
Diego Mendes Rodrigues
10° lugar - 16.335 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
