Como la mayoría de las cosas en Linux, el comando sudo es muy configurable. Puede hacer que sudo ejecute comandos específicos sin solicitar una contraseña, restringir a usuarios específicos solo a comandos aprobados, registrar comandos ejecutados con sudo y más.
El comportamiento del comando sudo está controlado por el archivo /etc/sudoers de su sistema. Este comando debe editarse con el comando visudo, que realiza una verificación de sintaxis para garantizar que no rompa el archivo accidentalmente.
Especificar usuarios con permisos Sudo
La cuenta de usuario que crea durante la instalación de Ubuntu está marcada como cuenta de administrador, lo que significa que puede usar sudo. Cualquier cuenta de usuario adicional que cree después de la instalación puede ser cuenta de administrador o cuenta de usuario estándar; las cuentas de usuario estándar no tienen permisos de sudo.
Puede controlar los tipos de cuentas de usuario gráficamente desde la herramienta Cuentas de usuario de Ubuntu. Para abrirlo, haga clic en su nombre de usuario en el panel y seleccione Cuentas de usuario o busque Cuentas de usuario en el tablero.
Haz que Sudo olvide tu contraseña
De forma predeterminada, sudo recuerda su contraseña durante 15 minutos después de escribirla. Es por eso que solo tienes que escribir tu contraseña una vez cuando ejecutas múltiples comandos con sudo en rápida sucesión. Si está a punto de permitir que otra persona use su computadora y desea que sudo le solicite la contraseña la próxima vez que se ejecute, ejecute el siguiente comando y sudo olvidará su contraseña:
sudo-k
Solicite siempre una contraseña
Si prefiere que se le pregunte cada vez que usa sudo (por ejemplo, si otras personas tienen acceso regular a su computadora), puede desactivar por completo el comportamiento de recordar contraseña.
Esta configuración, al igual que otras configuraciones de sudo, está contenida en el archivo /etc/sudoers. Ejecute el comando visudo en una terminal para abrir el archivo y editarlo:
sudo visudo
A pesar de su nombre, este comando utiliza por defecto el nuevo editor nano, fácil de usar, en lugar del editor vi tradicional en Ubuntu.
Agregue la siguiente línea debajo de las otras líneas predeterminadas del archivo:
Valores predeterminados timestamp_timeout=0
Presione Ctrl+O para guardar el archivo y luego presione Ctrl+X para cerrar Nano. Sudo ahora siempre le pedirá una contraseña.
Cambiar el tiempo de espera de la contraseña
Para establecer un tiempo de espera de contraseña diferente, ya sea uno más largo, como 30 minutos, o uno más corto, como 5 minutos, siga los pasos anteriores pero use un valor diferente para timestamp_timeout. El número corresponde a la cantidad de minutos durante los cuales sudo recordará su contraseña. Para que sudo recuerde su contraseña durante 5 minutos, agregue la siguiente línea:
Valores predeterminados timestamp_timeout=5
Nunca solicite una contraseña
También puedes hacer que sudo nunca solicite una contraseña; siempre que estés conectado, cada comando al que le pongas el prefijo sudo se ejecutará con permisos de root. Para hacer esto, agregue la siguiente línea a su archivo sudoers, donde nombre de usuario es su nombre de usuario:
nombre de usuario TODOS = (TODOS) NOPASSWD: TODOS
También puede cambiar la línea %sudo, es decir, la línea que permite que todos los usuarios del grupo sudo (también conocidos como usuarios administradores) usen sudo, para que todos los usuarios administradores no requieran contraseñas:
%sudo TODOS=(TODOS:TODOS) NOPASSWD:TODOS
Ejecute comandos específicos sin contraseña
También puede especificar comandos específicos que nunca requerirán una contraseña cuando se ejecuten con sudo. En lugar de utilizar “TODOS” después de NOPASSWD arriba, especifique la ubicación de los comandos. Por ejemplo, la siguiente línea permitirá que su cuenta de usuario ejecute los comandos apt-get y Shutdown sin contraseña.
nombre de usuario TODOS=(TODOS) NOPASSWD: /usr/bin/apt-get,/sbin/shutdown
Esto puede resultar particularmente útil cuando se ejecutan comandos específicos con sudo en un script.
Permitir que un usuario ejecute solo comandos específicos
Si bien puedes poner en lista negra comandos específicos y evitar que los usuarios los ejecuten con sudo, esto no es muy efectivo. Por ejemplo, podría especificar que una cuenta de usuario no pueda ejecutar el comando de apagado con sudo. Pero esa cuenta de usuario podría ejecutar el comando cp con sudo, crear una copia del comando de apagado y apagar el sistema usando la copia.
Una forma más eficaz es incluir comandos específicos en la lista blanca. Por ejemplo, podría otorgar permiso a una cuenta de usuario estándar para usar los comandos apt-get y Shutdown, pero nada más. Para hacerlo, agregue la siguiente línea, donde usuarioestándar es el nombre de usuario del usuario:
usuario estándar ALL=/usr/bin/apt-get,/sbin/shutdown
El siguiente comando nos dirá qué comandos puede ejecutar el usuario con sudo:
sudo -U usuario estándar –l
Registro de acceso a Sudo
Puede registrar todos los accesos a sudo agregando la siguiente línea. /var/log/sudo es sólo un ejemplo; puede utilizar cualquier ubicación de archivo de registro que desee.
Archivo de registro predeterminado=/var/log/sudo
Vea el contenido del archivo de registro con un comando como este:
sudo gato /var/log/sudo
Tenga en cuenta que, si un usuario tiene acceso sudo ilimitado, ese usuario tiene la capacidad de eliminar o modificar el contenido de este archivo. Un usuario también podría acceder a un indicador raíz con sudo y ejecutar comandos que no se registrarían. La función de registro es más útil cuando se combina con cuentas de usuario que tienen acceso restringido a un subconjunto de comandos del sistema.
