Duração da senha de root no Debian

Question

Ol&aacute;, pessoal!

Sou iniciante, e j&aacute; usei o Debian algumas vezes, por&eacute;m notei que ao digitarmos su uma vez no terminal e digitarmos a senha de root, podemos executar v&aacute;rias tarefas administrativas em seguida, sem nos ser pedida a senha novamente. Isso facilita o usu&aacute;rio, mas n&atilde;o me parece muito seguro. Ser&aacute; que haveria como fazermos o sistema pedir a senha de root a cada tarefa administrativa?

Se algu&eacute;m puder me ajudar, eu agrade&ccedil;o muito.

Answer

&Eacute; s&oacute; n&atilde;o usar o su, e sim o sudo.

O su abre uma sess&atilde;o de root, ou seja, voc&ecirc; vai executar comandos como root at&eacute; a hora em que n&atilde;o quiser mais.

O sudo vai executar um comando como root (a menos que vc use sudo -s ou sudo bash, que v&atilde;o abrir a sess&atilde;o de root semelhante ao su). Voc&ecirc; pode configur&aacute;-lo para pedir a senha do root, a sua senha, ou n&atilde;o pedir senha nenhuma.

Uma vez pedida a senha, o sudo vai manter essa senha em cache por um tempo padr&atilde;o de 15 minutos (necess&aacute;rio confirmar), para a sess&atilde;o corrente. Esse tempo &eacute; configur&aacute;vel.

Tamb&eacute;m &eacute; poss&iacute;vel configurar quais comandos cada usu&aacute;rio pode executar, de forma que vc deixe um executar sudo mount, enquanto o outro s&oacute; pode fazer sudo shutdown. Com o su, o usu&aacute;rio pode fazer qualquer coisa que o root possa.

Answer

Mas qualquer usu&aacute;rio comum que souber a senha do root pode usar o sudo?

Answer

mshonorato disse: Mas qualquer usu&aacute;rio comum que souber a senha do root pode usar o sudo?

Ah, a&iacute; est&aacute; a beleza do sudo: n&atilde;o!!! S&oacute; os usu&aacute;rios que voc&ecirc; autorizar. Mesmo que eles tenham a senha do root, eles n&atilde;o v&atilde;o poder fazer nada, exceto o que voc&ecirc; autorizar explicitamente no arquivo /etc/sudoers.

E, supondo que voc&ecirc; bloqueou o programa su, saber a senha de root vai adiantar quase nada para eles.

Answer

mshonorato disse: Mas qualquer usu&aacute;rio comum que souber a senha do root pode usar o sudo?

O usu&aacute;rio comum, habilitado no arquivo /etc/sudoers, pode usar o sudo, sem precisar saber a senha do root.

D&aacute; para configurar se ele deve ou n&atilde;o entrar com sua senha (dele mesmo) a cada uso do sudo, ou d&aacute; tamb&eacute;m para limitar quais programas ele pode rodar com o sudo.

Answer

Legal, entendi...

Mas como eu defino os comando que ele pode executar?

Coloco o nome do usu&aacute;rio e o comando entre parenteses?

assim: marcos (ls, dir, rm, etc...)

Meu sudoers est&aacute; assim:

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults        env_reset

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL) ALL

# Uncomment to allow members of group sudo to not need a password
# (Note that later entries override this, so you might need to move
# it further down)
# %sudo ALL=NOPASSWD: ALL

Answer

Se n&atilde;o me engano &eacute; isso a&iacute;. D&aacute; at&eacute; para colocar par&acirc;metros, restringindo o uso do comando com os par&acirc;metros dados, mas agora n&atilde;o me lembro bem como fiz isso. Fiz uns v&aacute;rios testes com o sudoers certa vez, mas n&atilde;o est&atilde;o em uso agora. Tente:

marcos ALL=NOPASSWD: /bin/ls, /bin/rm

a) as altera&ccedil;&otilde;es s&oacute; fazem efeito no pr&oacute;ximo login
b) substituindo NOPASSWD por PASSWD, o sudo pede a senha do usu&aacute;rio ao executar o sudo (evita que um script malicioso execute o sudo sem sua autoriza&ccedil;&atilde;o)

Answer

substituindo NOPASSWD por PASSWD, o sudo pede a senha do usu&aacute;rio ao executar o sudo

At&eacute; isso pode ser configurado. Adicionando a diretiva Defaults targetpw ao /etc/sudoers, ao inv&eacute;s de pedir a senha do usu&aacute;rio, pede a senha do root.

Eu n&atilde;o acho vantagem, mas &eacute; uma op&ccedil;&atilde;o a mais para o administrador.

Ah, uma dica, antes que eu esque&ccedil;a: use sempre o programa visudo para editar o arquivo /etc/sudoers. Esse programa chama o editor padr&atilde;o do sistema (definido na vari&aacute;vel de ambiente EDITOR), depois faz uma checagem de sintaxe no arquivo editado. Se n&atilde;o passar, ele te oferece a op&ccedil;&atilde;o de editar novamente ou voltar ao original.

Answer

Ok, valew pessoal...

Vou dar uma estudada no sudo...

Answer

jqueiroz disse:

O sudo vai executar um comando como root 
 Voc&ecirc; pode configur&aacute;-lo para pedir a senha do root, a sua senha, ou n&atilde;o pedir senha nenhuma.

Uma vez pedida a senha, o sudo vai manter essa senha em cache por um tempo padr&atilde;o de 15 minutos (necess&aacute;rio confirmar), para a sess&atilde;o corrente. Esse tempo &eacute; configur&aacute;vel.

Tamb&eacute;m &eacute; poss&iacute;vel configurar quais comandos cada usu&aacute;rio pode executar, de forma que vc deixe um executar sudo mount, enquanto o outro s&oacute; pode fazer sudo shutdown.

Obrigada, pessoal, pela aten&ccedil;&atilde;o de vcs!

JQueiroz, eu n&atilde;o entendi muito bem, ainda estou engatinhando...     Vc poderia me explicar com mais detalhes como fa&ccedil;o estas configura&ccedil;&otilde;es, ou seja, como fa&ccedil;o p/ o Debian aceitar o sudo, como determino a senha que o sudo ir&aacute; usar, como fa&ccedil;o p/ o tempo de expira&ccedil;&atilde;o da senha n&atilde;o ser 15 minutos, mas sim p/ que o sistema me pe&ccedil;a a senha todas as vezes em que eu precisar executar uma tarefa com o sudo, e como fa&ccedil;o p/ determinar quais comandos de sudo cada usu&aacute;rio pode executar?

Answer

Todas essas configura&ccedil;&otilde;es ficam no arquivo /etc/sudoers, que voc&ecirc; deve editar com o comando visudo.

&Eacute; um pouco longo pra explicar cada uma delas aqui, ent&atilde;o sugiro que voc&ecirc; consulte o manual online, com man sudo e man sudoers.

Answer

jqueiroz disse: Todas essas configura&ccedil;&otilde;es ficam no arquivo /etc/sudoers, que voc&ecirc; deve editar com o comando visudo.

Uma vez, tentei aprender a editar com o comando visudo, mas achei t&atilde;o complicado, n&atilde;o consegui... Ser&aacute; que teria como eu inserir os comandos direto no  arquivo /etc/sudoers?

Answer

Ter, tem; mas o visudo &eacute; a forma recomendada, pois com ele, voc&ecirc; s&oacute; consegue alterar o arquivo /etc/sudoers usando a sintaxe correta.

Vc deve ter se enrolado pq ele te jogou pra usar um editor que voc&ecirc; n&atilde;o est&aacute; acostumado --- o vim, o nano, o mcedit, ou at&eacute; mesmo o emacs.

Answer

Jqueiroz, vc saberia me explicar apenas, primeiramente, qual &eacute; o comando que a gente d&aacute; para, no terminal, ser pedida a senha do root, a cada tarefa administrativa que precisarmos fazer? Ou seja, o comando para que a cada tarefa administrativa que fizermos no terminal tenhamos que digitar su e fornecer a senha de root (o comando para zerarmos o tempo de expira&ccedil;&atilde;o da senha do su)?

Answer

su.

Se voc&ecirc; quer o comportamento do su, use o su, n&atilde;o o sudo.

Ferramentas

Mover Tópico