El el archivo /etc/sudoers es donde se guardan todas las reglas de acceso, los alias y las opciones por defecto de sudo. En él estableceremos "quien puede ejecutar que y como" desde sudo.
Para editar /etc/sudoers puede utilizarse cualquier editor ( vim, Joe, Emacs, gEdit....), aunque en entornos corporativos es conveniente utilizar el comando visudo , el cual, además de lanzar el editor que hayamos configurado, bloquerá el archivo para evitar la edición concurrente y comprobará al sintaxis antes de proceder a guardar los cambios realizados.
Podemos considerar tres grandes secciones en /etc/sudoers:
Las tres secciones pueden considerarse opcionales, aunque sin la tercera ( Reglas de acceso) la existencia misma de /etc/sudoers careceria de sentido.
A continuación vamos a ver con detalle cada una de las mencionadas tres secciones.
Con los alias nos referimos a cualquier tipo de elemento: comandos , usuarios ( normales o privilegiados) y hosts .Desde el momento en que hemos definido un alias para un elemento, puede utilizarse en cualquier lugar, incluida la definicion de un alias , en el que se espere un usuario, un comando o un host.
La forma general de una definición de alias es:
Tipo_Alias NOMBRE_ALIAS = elemento1, elemento2, elemento3, ......
Tipo_Alias Puede ser uno de los siguientes:
NOMBRE_ALIAS Es el nombre que daremos al alias. Para su composición deben seguirse unas simples normas:
elemento Son los elementos o listas de elementos para los cuales será expandido el NOMBRE_ALIAS.
Es posible definir varios alias de un mismo tipo en una sola línea. Las diversas definiciones deben separarse con dos puntos (:)
Tipo_Alias NOMBRE_1 = elemento1, elemento3 : NOMBRE_2 = elemento2,\ elemento4 : NOMBRE_3 = elemento5, elemento6
Esto equivaldria a :
Tipo_Alias NOMBRE_1 = elemento1, elemento3
Tipo_Alias NOMBRE_2 = elemento2, elemento4
Tipo_Alias NOMBRE_3 = elemento5, elemento6
Como se ha dicho anteriormente, un alias puede ser un elemento en la definición de otro alias ( del mismo tipo). Así, es perfectamente correcta una sintaxis del siguiente tipo:
Tipo_Alias NOMBRE_5 = elemento7, NOMBRE_3 : NOMBRE_6 = elemento8,\ elemento9, NOMBRE_1
La única restricción es que los alias utilizados como elementos en las definiciones de otros alias ( en nuestro caso, NOMBRE_3 y NOMBRE_1 ) deben haber sido definidos previamente. Y, por supuesto, deben ser del mismo tipo del alias que se define.
Veamos ahora como construir una definición de alias para cada uno de los Tipo_Alias :
User_List NOMBRE_ALIAS = Lista_Usuarios
Como puede verse, la lista de usuarios puede estar formada por uno o más nombres de usuarios, nombres de grupos ( precedidos por % en el caso de "system groups" o por + en el caso de "net groups" ) y otros alias.
Un ejemplo de ello seria la siguiente definición:
User_List INVITADOS = asd53, delfin, %impresora, +robinsones, REDACTORES
Con la anterior definición establecemos que el alias INVITADOS comprende a los usuarios asd53 y delfin, a los usuarios del grupo ( system-group) impresora, a los usuarios del grupo (net-group) robinsones y a los usuarios definidos en el alias REDACTORES.
Runas_List NOMBRE_ALIAS = Lista_Runas
Como puede observarse, las Runas_List son similares a las User_List, salvo en que las Runas_list pueden contener uid, con el prefijo #.
Host_List NOMBRE_ALIAS = Lista_hosts
El nombre_host puede incluir carácteres comodín (wildcards)
Si no se especifica una máscara de red con un número de red, se utilizará la máscara de la interface ethernet del host.
Cmnd_List NOMBRE_ALIAS = Lista_comandos
Una Cmnd_List es una lista de uno o más nombres de comandos, directorios y/o otros alias.
Cuando se especifique un comando, siempre debe ponerse la ruta completa al ejecutable:
Cmnd_List BASICOS = /bin/ls , /usr/bin/lpr
Cmnd_List AVANZADOS = /bin/kill, /bin/passwd, BASICOS
Cuando el nombre del comando se especifica con argumentos (incluyendo wildcards), el usuario sólo podra utilizar los argumentos especificados.
Si el nombre del comando se especifica con el "argumento" guión_bajo, _ , se indica que el comando sólo puede ejecutarse sin argumentos.
Un directorio es un path, completo y válido, acabado en /.
/usr/local/bin/
Cuando en lugar de un comando se especifica un directorio, el usuario puede ejecutar cualquier binario que se encuentre en el directorio epecificado.
En el siguiente ejemplo, el usuario podria ejecutar los comandos kill, passwd, hostname, todos los ejecutables contenidos en el directorio /usr/local/bin/ y los comandos correspondientes al alias BASICOS :
Cmnd_List AVANZADOS = /bin/kill, /bin/passwd, /bin/hostname, BASICOS , /usr/local/bin/
Los siguientes caracteres deben ser "escapados" con \ en el caso de ser utilizasos en los argumentos del comando: ' : , = \
El comando especial sudoedit se utiliza para permitir al usuario la ejecución de sudo -e. Como cualquier comando, puede tambien especificarse con argumentos.
Pueden modificarse ciertas opciones de configuración mediante una o más líneas Defaults en el archivo /etc/sudoers.
Podemos definir las opciones:
Y sus respectivas sintaxis serian las siguientes:
Las listas de opciones estan contituidas por un conjunto de opciones separadas por comas:
opcion1, opcion2, opcion3,........
Podemos considerar cuatro tipos de opciones:
Defaults>root !set_logname
En el ejemplo anterior, se desacttiva la opción set_logname para el usuario root
Defaults:sebastian authenticate
En el ejemplo anterior, se activa la opción authenticate para el usuario sebastian
nombre_opcion = valor nombre_opcion = cadena Defaults@SERVERS logfile=/var/log/sudo.log ,log_year
nombre_opcion = valor1,valor2, .... Los valores o cadenas, cuando contengan varias palabras, pueden encerrarse entre dobles comillas ("...").
Los caracteres especiales pueden "escaparse" con \
Debemos tener presente que algunas opciones no booleanas pueden ser utilizadas en un contexto booleano, lo que permite, entre otras cosas, que puedan ser deshabilitadas con el operador !
En [Opciones de Configuración (Defaults)] puede encontrarse una relación de las diversas opciones utilizadas en la configuración de sudoers con una breve explicación de cada una de ellas.
Mediante las Reglas de Acceso vamos a definir:
La sintaxis básica es:
usuario host = (usuario_privilegiado) comando
Cada uno de los elementos anteriores puede ser un Alias o una lista de elementos.
El elemento usuario_privilegiado es opcional. Por defecto se toma root .
Un ejemplo de regla de acceso con root como usuario_privilegiado seria:
USUARIO HOST = comando1, comando2,.....
Cuando se especifique un comando siempre debe ponerse la ruta completa al ejecutable. (Cuando ejecutemos sudo no es necesario, bastará con el nombre del ejecutable).
USUARIO HOST = /usr/bin/ls
En ejemplo anterior, los usuarios de alias USUARIO, en las máquinas de alias HOST podrian ejecutar, como root el comando ls
Como se comentó anteriormente [ir..] , debemos tener en cuenta que en lugar de ejecutables pueden configurarse rutas a directorios para indicar que cualquier binario de dicho directorio se incluye en la Regla de Acceso; bastará con finalizar la ruta con / y se entenderá como un directorio. Un ejemplo:
USUARIO HOST = (operador) /usr/local/bin/
En este ejemplo los usuarios de alias USUARIO, en las máquinas de alias HOST podrian ejecutar con los privilegios del usuario operador los ejecutables que se hallen en el directorio /usr/local/bin/.
Pueden especificarse mas de un usuario_privilegiado. En este caso, cada usuario_privilegiado especificado toma efecto a todos los comandos especificados a partir de el. Veamos un eljemplo:
USUARIO HOST = (operador) comando1, comando2, (root) comado3, comando4
En la anterior regla de acceso se autoriza a los usuarios de alias USUARIO, en las máquinas de alias HOST ejecutar los comandos comando1 y comando2 como usuario operador y los comandos comando3 y comando4 como usuario root .
Fíjate que en este caso se obtendria el mismo resultado con la siguiente regla de acceso:
USUARIO HOST = comando3,comando4, (operador) comando1, comando2
Por si no fuera suficiente, tenemos un medio de modificar las condiciones en que el usuario puede ejecutar las disversos comandos definidos. Es mediante las llamadas ETIQUETAS DE COMANDO.
Un comando puede definirse con cero o más etiquetas asociadas a el.
En el caso de utilizar ETIQUETAS DE COMANDO, la sintaxis de la Regla de Acceso pasaria a ser:
usuario host = (usuario_privilegiado) ETIQUETA:comando, ...
Disponemos de cuatro valores posibles para ETIQUETA:
NOPASSWDPASSWDEXECNOEXECUna vez se ha asociado una etiqueta a un comando, los siguientes comandos de la lista de comandos heredan el valor de la etiqueta asociada, salvo que sea "anulada" por una etiqueta con valor opuesto.
Las parejas de valores "opuestos" son:
NOPASSWD -- PASSWDEXEC -- NOEXECPor defecto, sudo requiere que el usuario se autentifique mediante su contraseña antes de ejecutar un comando. Esto puede modificarse mediante la etiqueta NOPASSWD.
Como se ha comentado anteriormente, al aplicar la etiqueta NOPASSWD a un comando de una lista, todos los comandos subsiguientes "heredarán" esta propiedad. Podemos desactivar la "herencia" con PASSWD . Veamos esto con un ejemplo:
jose1 hosto = (operador) NOPASSWD: /bin/kill, /bin/ls, /usr/bin/lpr
La anterior definición nos dice que el usuario jose1, en el host hosto, en calidad de usuario_privilegiado operator, puede ejecutar sin necesidad de autentificarse los comandos /bin/kill, /bin/ls, y /usr/bin/lpr, .
Si deseáramos que solo pudiera ejecutar /bin/kill sin necesidad de autentificarse, desactivariamos NOPASSWD para /bin/ls y /usr/bin/lpr, mediante PASSWD :
jose1 hosto = (operador) NOPASSWD: /bin/kill, PASSWD: /bin/ls, /usr/bin/lpr
Si quisiéramos que /bin/ls fuera el único comando que pudiera ejecutarse sin autentificación, la sintaxis deberia ser:
jose1 hosto = (operador) /bin/kill, NOPASSWD: /bin/ls, PASSWD: /usr/bin/lpr
Si sudo ha sido compilado con soporte noexec y este es soportado por el sistema operativo , la etiqueta NOEXEC puede utilizarse para prevenir shell escapes.
Sudo permite la utilización de caracteres comodín de shell (shell-style wildcards) en los pathnames y en los argumentos de comandos, utililizados en el archivo /etc/sudoers.
Los comodines utilizados son:
Se utiliza también \ para escapar caracteres especiales
El caracter \ , como parte de un path, no puede ser sustituido por un comodin:
/usr/bin/* hará referencia a todos los archivos existentes en /usr/bin/ , pero no "expandirá" el path a , por ejemplo, /usr/bin/X11/xterm .
El signo # es utilizado para indicar comentarios. Cada linea de comentarios debe comenzar por un signo # .
El signo ! puede utilizarse como un operador lógico de negación (not), tanto en alias como en comandos.
Las lineas largas pueden continuarse en otra linea inferior, colocando \ como último caracter de la linea que se desea interrumpir.
Los espacios en blanco entre elemenos de una linea ; incluyendo los caracteres sintacticos especiales tales como = , : ( ) , son opcionales.
Los siguientes caracteres especiales deben ser escapados con \ cuando se utilicen como parte de una palabra: @ ! = : ( ) \ ,
Una vez sudo ejecuta un perograma, dicho programa es libre de realizar cualquier operación que le sea propia, incluida la ejecución de otro programa. Esto puede plantear una cuestión de seguridad, ya que no es infrecuente que un programa permita shell escapes, lo que posibilita al usuario "puentear" las restricciones de sudo .
Muchos sistemas que usan bibliotecas compartidas poseen la capacidad de anular funciones por defecto de las bibliotecas apuntando una variable de entorno ( normalmente, LD_PRELOAD) a una biblioteca compartida alternativa. En tales sistemas, la funcionalidad noexec de sudo puede utilizarse para prevenir que con un programa que se haya ejecutado através de sudo pueda ejecutarse cualquier otro programa. Debe tenerse en cuenta pero que esto es solo posible con ejecutables dinamicamente enlazados (dynamically-linked). Con ejecutables estaticamente enlazados ( statically-linked) no tiene efecto.
Para saber si sudo soporta noexec , debemos ejecutar, como root :
sudo -V | grep "dummy exec"
Si la salida contiene una linea que comienza por:
File containing dummy exec functions:
quiere decir que sudo es capaz de reemplazar ls familia de funciones exec en la biblioteca estandar,devolviendo simplemente un error. Por desgracia, no existe un medio seguro de saber si noexec se ejecutará durante el proceso de compilación. Como noexec suele ejecutarse con eficacia en la mayoria de sistemas que soportan la variable de entorno LD_PRELOAD, en el manual del sistema podremos comprobar si la citada variable y deducir el posible comportamiento de noexec .
Para activar noexec para un comando, utilizar la etiqueta de comando NOEXEC .
En el siguiente ejemplo habilitamos al usuario asd53 , sobre el host host3 ejecurar como root los comandos les y pine , con noexec activado:
asd53 host3 = NOEXEC : /usr/bin/less , /usr/bin/pine
Esto hace que los ateriores dos comandos no puedan ser utilizados para la ejecución de otro comando.
Debemos tener en cuenta que el desactivar el shell escape no es ni mucho menos la panacea. los programas ejecutados como root son capaces de realizar otras operaciones tanto o mas peligrosas ( cambiar o sobrescribir archivos, por ejempo.....)
Los archivos implicados son:
/etc/sudoers: Relación de "quien puede ejecutar que".
/etc/group: Archivo de los grupos locales.
/etc/netgroup: Archivo de los network groups .
Todo lo que se acaba de explicar lo he aprendido de:
Fiesta Segura,D . "Iniciación de sudo para bisoños". .