Cómo usar Sudo en Debian, CentOS y FreeBSD

• Prerrequisitos
• Paso 1: Instalar sudo
• Paso 2: Agregar el usuario sudo
• Paso 3: Agregar el nuevo usuario al grupo de ruedas (opcional)
• La diferencia entre rueda y sudo.
• Paso 4: Asegúrate de que tu archivo sudoers esté configurado correctamente
• Paso 5: permitir que un usuario que no pertenece a la rueda ni al grupo sudo ejecute el comando sudo
• Paso 6: reiniciar el servidor SSHD
• Paso 7: prueba
• Paso 8: deshabilite el acceso directo a la raíz

El uso de un sudousuario para acceder a un servidor y ejecutar comandos a nivel raíz es una práctica muy común entre Linux y Unix Systems Administrator. El uso de un sudousuario a menudo se combina desactivando el acceso raíz directo al servidor en un esfuerzo por evitar el acceso no autorizado.

En este tutorial, cubriremos los pasos básicos para deshabilitar el acceso raíz directo, crear un usuario sudo y configurar el grupo sudo en CentOS, Debian y FreeBSD.

Prerrequisitos

• Un servidor Linux recién instalado con su distribución preferida.
• Un editor de texto instalado en el servidor, ya sea nano, vi, vim, emacs.

Paso 1: Instalar sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

o

pkg install sudo

Paso 2: Agregar el usuario sudo

Un sudousuario es una cuenta de usuario normal en una máquina Linux o Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Paso 3: Agregar el nuevo usuario al grupo de ruedas (opcional)

El grupo de rueda es un grupo de usuarios que limita la cantidad de personas que pueden surootear. Agregar su sudousuario al wheelgrupo es completamente opcional, pero es recomendable.

Nota: En Debian, el sudogrupo se encuentra a menudo en lugar de wheel. Sin embargo, puede agregar manualmente el wheelgrupo utilizando el groupaddcomando. A los efectos de este tutorial, utilizaremos el sudogrupo para Debian.

La diferencia entre wheely sudo.

En CentOS y Debian, un usuario que pertenece al wheelgrupo puede ejecutar suy ascender directamente root. Mientras tanto, un sudousuario debería haber usado el sudo suprimero. Esencialmente, no hay una diferencia real, excepto la sintaxis utilizada para convertirse en root , y los usuarios que pertenecen a ambos grupos pueden usar el sudocomando.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Paso 4: Asegúrate de que tu sudoersarchivo esté configurado correctamente

Es importante asegurarse de que el sudoersarchivo ubicado en /etc/sudoersestá configurado correctamente para permitir sudo usersel uso efectivo del sudocomando. Para lograr eso, veremos los contenidos /etc/sudoersy los editaremos cuando corresponda.

Debian

vim /etc/sudoers

o

visudo

CentOS

vim /etc/sudoers

o

visudo

FreeBSD

vim /etc/sudoers

o

visudo

Nota: El visudocomando se abrirá /etc/sudoersusando el editor de texto preferido del sistema (generalmente vi o vim) .

Comience a revisar y editar debajo de esta línea:

# Allow members of group sudo to execute any command

Esta sección de a /etc/sudoersmenudo se ve así:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

En algunos sistemas, es posible que no encuentre en %wheellugar de %sudo; en cuyo caso, esta sería la línea bajo la cual comenzaría a modificar.

Si la línea que comienza %sudoen Debian o %wheelen CentOS y FreeBSD no está comentada (con el prefijo #) , esto significa que sudo ya está configurado y habilitado. Luego puede pasar al siguiente paso.

Paso 5: permitir que un usuario que no pertenece al grupo wheelni al sudogrupo ejecute el sudocomando

Es posible permitir que un usuario que no está en ninguno de los grupos de usuarios ejecute el sudocomando simplemente agregándolos de la /etc/sudoerssiguiente manera:

anotherusername ALL=(ALL) ALL

Paso 6: reiniciar el servidor SSHD

Para aplicar los cambios realizados /etc/sudoers, debe reiniciar el servidor SSHD de la siguiente manera:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Paso 7: prueba

Después de reiniciar el servidor SSH, cierre la sesión y vuelva a iniciarla como su sudo user, luego intente ejecutar algunos comandos de prueba de la siguiente manera:

sudo uptime
sudo whoami

Cualquiera de los siguientes comandos permitirá sudo userque se convierta root.

sudo su -
sudo -i
sudo -S

Notas:

• El whoamicomando volverá rootcuando se acople con sudo.
• Se le pedirá que ingrese la contraseña de su usuario cuando ejecute el sudocomando, a menos que indique explícitamente al sistema que no solicite sudo userssus contraseñas. Tenga en cuenta que no es una práctica recomendada.

Opcional: permitir sudosin ingresar la contraseña del usuario

Como se explicó anteriormente, esta no es una práctica recomendada y se incluye en este tutorial solo con fines de demostración.

Con el fin de permitir que su sudo userpara ejecutar el sudocomando sin que se le pida su contraseña, el sufijo de la línea de acceso en /etc/sudoersla NOPASSWD: ALLforma siguiente:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Nota: Debe reiniciar su servidor SSHD para aplicar los cambios.

Paso 8: deshabilite el acceso directo a la raíz

Ahora que ha confirmado que puede usar su sudo usersin problemas, es hora del octavo y último paso, deshabilitando el acceso directo a la raíz.

Primero, abra /etc/ssh/sshd_configusando su editor de texto favorito y encuentre la línea que contiene la siguiente cadena. Puede tener el prefijo de un #personaje.

PermitRootLogin

Independientemente del prefijo o el valor de la opción en /etc/ssh/sshd_config, debe cambiar esa línea a la siguiente:

PermitRootLogin no

Finalmente, reinicie su servidor SSHD.

Nota: No olvide probar sus cambios intentando SSH en su servidor como root. Si no puede hacerlo, esto significa que ha completado con éxito todos los pasos necesarios.

Esto concluye nuestro tutorial.