Como usar o Sudo no Debian, CentOS e FreeBSD

• Pré-requisitos
• Etapa 1: instalando o sudo
• Etapa 2: Adicionando o usuário sudo
• Etapa 3: Adicionando o novo usuário ao grupo de roda (opcional)
• A diferença entre roda e sudo.
• Etapa 4: verifique se o arquivo sudoers está configurado corretamente
• Etapa 5: Permitir que um usuário que não pertence à roda nem ao grupo sudo execute o comando sudo
• Etapa 6: Reiniciando o servidor SSHD
• Etapa 7: Teste
• Etapa 8: desativar o acesso root direto

Usar um sudousuário para acessar um servidor e executar comandos no nível raiz é uma prática muito comum entre o Linux e o Unix Systems Administrator. O uso de um sudousuário geralmente é associado à desativação do acesso root direto ao servidor, em um esforço para impedir o acesso não autorizado.

Neste tutorial, abordaremos as etapas básicas para desativar o acesso direto à raiz, criar um usuário sudo e configurar o grupo sudo no CentOS, Debian e FreeBSD.

Pré-requisitos

• Um servidor Linux recém-instalado com sua distribuição preferida.
• Um editor de texto instalado no servidor, seja nano, vi, vim, emacs.

Etapa 1: instalando o sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

ou

pkg install sudo

Etapa 2: Adicionando o usuário sudo

Um sudousuário é uma conta de usuário normal em uma máquina Linux ou Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Etapa 3: Adicionando o novo usuário ao grupo de roda (opcional)

O grupo de roda é um grupo de usuários que limita o número de pessoas capazes de sufazer root. Adicionar seu sudousuário ao wheelgrupo é totalmente opcional, mas é aconselhável.

Nota: No Debian, o sudogrupo é freqüentemente encontrado em vez de wheel. No entanto, você pode adicionar manualmente o wheelgrupo usando o groupaddcomando Para os propósitos deste tutorial, usaremos o sudogrupo para Debian.

A diferença entre wheele sudo.

No CentOS e Debian, um usuário pertencente ao wheelgrupo pode executar sue subir diretamente para root. Enquanto isso, um sudousuário teria usado o sudo suprimeiro. Essencialmente, não há diferença real, exceto a sintaxe usada para se tornar raiz , e os usuários pertencentes a ambos os grupos podem usar o sudocomando.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Etapa 4: verifique se o sudoersarquivo está configurado corretamente

É importante garantir que o sudoersarquivo localizado /etc/sudoersesteja configurado corretamente para permitir sudo userso uso eficaz do sudocomando. Para conseguir isso, visualizaremos o conteúdo /etc/sudoerse o editaremos onde aplicável.

Debian

vim /etc/sudoers

ou

visudo

CentOS

vim /etc/sudoers

ou

visudo

FreeBSD

vim /etc/sudoers

ou

visudo

Nota: O visudocomando será aberto /etc/sudoersusando o editor de texto preferido do sistema (geralmente vi ou vim) .

Comece a revisar e editar abaixo desta linha:

# Allow members of group sudo to execute any command

Esta seção /etc/sudoersgeralmente se parece com isso:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Em alguns sistemas, você pode não encontrar em %wheelvez de %sudo; nesse caso, seria a linha sob a qual você começaria a modificar.

Se a linha iniciada %sudono Debian ou %wheelno CentOS e no FreeBSD não for comentada (prefixada por #) , isso significa que o sudo já está configurado e está ativado. Você pode então passar para a próxima etapa.

Etapa 5: Permitir que um usuário que não pertence wheelnem ao sudogrupo nem execute o sudocomando

É possível permitir que um usuário que não esteja em nenhum dos grupos execute o sudocomando simplesmente adicionando-o da /etc/sudoersseguinte forma:

anotherusername ALL=(ALL) ALL

Etapa 6: Reiniciando o servidor SSHD

Para aplicar as alterações feitas /etc/sudoers, você precisa reiniciar o servidor SSHD da seguinte maneira:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Etapa 7: Teste

Depois de reiniciar o servidor SSH, efetue logout e logon novamente como seu sudo usere tente executar alguns comandos de teste da seguinte maneira:

sudo uptime
sudo whoami

Qualquer um dos comandos abaixo permitirá sudo userque ele se torne root.

sudo su -
sudo -i
sudo -S

Notas:

• O whoamicomando retornará rootquando associado sudo.
• Você será solicitado a digitar a senha do usuário ao executar o sudocomando, a menos que instrua explicitamente o sistema para não solicitar sudo userssuas senhas. Observe que essa não é uma prática recomendada.

Opcional: permitindo sudosem inserir a senha do usuário

Como explicado anteriormente, essa não é uma prática recomendada e está incluída neste tutorial apenas para fins de demonstração.

A fim de permitir que o seu sudo userpara executar o sudocomando sem ser solicitado para sua senha, sufixo de linha de acesso em /etc/sudoerscom NOPASSWD: ALLa seguinte:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Nota: Você precisa reiniciar o servidor SSHD para aplicar as alterações.

Etapa 8: desativar o acesso root direto

Agora que você confirmou que pode usar o seu sudo usersem problemas, é hora da oitava e última etapa, desativando o acesso direto à raiz.

Primeiro, abra /etc/ssh/sshd_configusando o seu editor de texto favorito e encontre a linha que contém a seguinte string. Pode ser prefixado com um #caractere.

PermitRootLogin

Independentemente do prefixo ou do valor da opção /etc/ssh/sshd_config, é necessário alterar essa linha para o seguinte:

PermitRootLogin no

Por fim, reinicie o servidor SSHD.

Nota: Não esqueça de testar suas alterações tentando fazer o SSH no servidor como root. Se você não conseguir fazer isso, isso significa que você concluiu com êxito todas as etapas necessárias.

Isso conclui nosso tutorial.