Discussão sobre a questão sudo

Question

Galera, quando comecei a usar Linux, nem conhecia o comando sudo. Agora vejo o pessoal de sudo pra l&aacute;, sudo pra c&aacute;. Pelo que entendi, esse comando &eacute; apenas para usu&aacute;rios que n&atilde;o t&ecirc;m e n&atilde;o devem ter a senha do root, ent&atilde;o vc coloca algumas permiss&otilde;es para esse user poder executar algo sem restri&ccedil;&otilde;es. Para quem usa o computador sozinho, basta usar o su, entrar com a senha do root, fazer o que tem que fazer e sair, pelo menos eu acho mais pr&aacute;tico.
Se n&atilde;o entendi a amplitude do sudo direito gostaria que me explicassem melhor.
Obrigado!

Answer

RoadKill, &eacute; mais pr&aacute;tico pro povo iniciante ficar colocando 'sudo' na frente dos comandos.. no caso do ubuntu, &eacute; praticamente obrigatorio, mas com o kurumin n&atilde;o...

E acho que acaba pegando a 'moda' de por o sudo na frente dos comandos..hehe e, tipo, pra ensinar pra um iniciante &eacute; mais facil, porque se o cara n&atilde;o sabe preula nenhuma de root, basta por o SUDO que quebra o galho...

Answer

&Eacute;, o comando sudo existe para que o usu&aacute;rio tenha permiss&otilde;es de root sem digitar a senha, exemplo:

eu to logado como dsl500g e digito num terminal:

konqueror

eu vo entrar no konqueror como dsl500g


mas se eu for num terminal e digitar:

sudo konqueror

eu vo entrar no konqueror como root sem digitar nenhuma senha, o que pra mim &eacute; um A B S U R D O

Eu sou completamente contra o sudo

Felizmente a unica distro que eu conhe&ccedil;o que vem com o sudo ativado por padr&atilde;o &eacute; o Kurumin.

O comando sudo &eacute; um rombo e tanto na seguran&ccedil;a de um sistema UNIX-Like.

Answer

Acho que o Roadkill queria informa&ccedil;&otilde;es t&eacute;cnicas sobre o sudo...

Vou passar alguns links:

http://geocities.yahoo.com.br/cesarakg/sudo.html

O manual de seguran&ccedil;a da Red Hat traz boas informa&ccedil;&otilde;es (ver o final da p&aacute;gina):

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-pt_br-4/s1-wstation-privileges.html

H&aacute; alguns documentos na p&aacute;gina do projeto tbm:

http://www.courtesan.com/sudo/

O Gentoo disponibiliza um bom doc sobre a configura&ccedil;&atilde;o do sudo, que pode ser adaptado a outras distros:

http://www.gentoo.org/doc/en/sudo-guide.xml

Answer

[quote=Fighting Falcon]Acho que o Roadkill queria informa&ccedil;&otilde;es t&eacute;cnicas sobre o sudo...

Vou passar alguns links:

http://geocities.yahoo...[/quote]Oi, Fighting
Dei uma olhada no material. Muito bom! Vou ler mais quando tiver um tempinho.
Pelo menos as partes que olhei, n&atilde;o percebi outra utilidade no comando al&eacute;m da que citei no post, pra que usar sudo quando vc tem a senha de root? Como aqui, na maioria das vezes, o pr&oacute;prio usu&aacute;rio quem instalou Linux e ele quem vai usar o sistema, ent&atilde;o acho desnecess&aacute;rio e at&eacute; menos pr&aacute;tico o uso do sudo. Vamos ver depois que ler esse material na &iacute;ntegra. :wink:

Answer

RoadKill,

Concordo com voc&ecirc; no que diz respeito &agrave; hip&oacute;tese em que um pc &eacute; utilizado por uma &uacute;nica pessoa, como no caso os nossos desktops caseiros :D.

Entretanto, entendo que o sudo pode ser &uacute;til em ambientes com um maior n&uacute;mero de usu&aacute;rios, na medida em que ele pode, inclusive, limitar quem tem ou n&atilde;o tem acesso ao usu&aacute;rio root. Outras vantagens s&atilde;o encontradas no artigo abaixo:

http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=11

Answer

[quote=Fighting Falcon]RoadKill,

Concordo com voc&ecirc; no que diz respeito &agrave; hip&oacute;tese em que um pc &eacute; utilizado por uma &uacute;nica pessoa, c...[/quote]
Em definitiva, o sudo &eacute; um comando que root entrega como
esmola para alguns infelizes ter acesso a alguma ferramenta/
comando, que se n&atilde;o fosse por ele (s&oacute; roubando a senha de root)
para poder utilizar :lol: 

haaa n&atilde;o! Quem cair num servidor configurado por mi s&oacute; tem direito a:
1 mp3 por usu&aacute;rio, ver e-mail, navegar (com restri&ccedil;&otilde;es) ou seja, tudo 
&aacute; moda da quota he eheh :lol: 

Aqui &eacute; proibido at&eacute; ir no banheiro! E o su est&aacute; proibido para o root  hheh 

[color=darkblue]Bom, como podem ver com o que escrevi acima, estou com um tempo 
de sobra &agrave; toa, ent&atilde;o vou acrescentar:
[/color]
[color=darkred]Limitar acesso ao servidor (tentar evitar surrupia&ccedil;&atilde;o do root)..[/color]

Por padr&atilde;o a maior parte das distribui&ccedil;&otilde;es Linux, v&ecirc;m configuradas 
sem qualquer tipo de restri&ccedil;&atilde;o ao sistema. Isto quer dizer que qualquer 
usu&aacute;rio, atrav&eacute;s do boot loader, pode alterar a senha do root. 

Exemplo:

Ligue o micro e digite o comando label single. 
Obs: label &eacute; o nome escolhido para o ambiente Linux. 
Se o nome for Linux, o comando seria linux single.

Agora digite o comando passwd, modifique a senha do root 
para outra da sua escolha e reinicie o computador. 

Pronto, voc&ecirc; acaba de surrupiar a senha do root.

Para evitar que isto aconte&ccedil;a, podemos fazer algumas altera&ccedil;&otilde;es no arquivo lilo.
Acesse o diret&oacute;rio /etc e edite o arquivo lilo.conf. Acrescente as linhas
password e restricted, como o exemplo abaixo:

password=xxxxxxxxx restricted (onde xxxxxxxxx &eacute; a senha de prote&ccedil;&atilde;o). 

Salve o arquivo e, quando o Linux retornar ao prompt, digite o comando lilo 
para ativar as modifica&ccedil;&otilde;es. Lembre-se tamb&eacute;m de definir novas permiss&otilde;es 
para o etc/lilo.conf. Digite no pront:

# chmod 600 /etc/lilo.conf 

Desculpem se desviei o assunto .. hoje estou de folga mesmo hehe
 :lol: 

OPS! MUITO BONS teus links sobre o sudo Fighting Falcon .. Obrigado!

Answer

Muito boa foi a tua resposta, Pink!  :wink:

Answer

Vou dar um exemplo simples que utilizamos na empresa onde trabalho: o pessoal de redes, muitas vêzes acessa servidores de produção porque precisa "esnifar" uma interface de rede de determinado servidor. Então quem está no grupo redes tem permisão de usar o sudo para usar, por exemplo, o tcpdump, ou o snoop, dependendo da plataforma. E na maioria dos casos, isso é transparente para eles, pois colocamos o comando tcpdump (ou snoop) como um alias para o comando completo (sudo /usr/sbin/tcpdump, sudo /usr/sbin/snoop). Mesmo quem tem acesso de root por aqui não tem a senha: tem permissão para fazer sudo para um shell (sudo bash, por exemplo). Isso evita que a senha de root fique passeando entre várias pessoas. Cada um cuida da sua senha e responde pelos acessos feitos com ela. Existe uma escola que diz que ninguem deve saber a senha de root: você simplesmente digita uma senha aleatória e monstruosa qualquer para o root (de olhos fechados inclusive

) , esquece ela e deixa o su ou o sudo habilitado para quem realmente precisa do acesso total de root.

------------------------------------------------
Muito bom. Mas tijolo não revida!
------------------------------------------------

Answer

[quote=pflynn]Vou dar um exemplo simples que utilizamos na empresa onde trabalho: o pessoal de redes, muitas v&ecirc;zes acessa servidore...[/quote]

Interessante, s&oacute; que eu acho que os caras que tem acesso ao sudo, precisam ter acesso tamb&eacute;m como um outro usu&aacute;rio comum, sem sudo, pr&aacute; navegar na Internet, sen&atilde;o, no caso de uma invas&atilde;o com o sudo habilitado, um abra&ccedil;o. A n&atilde;o ser que seja responsabilidade de cada um desabilitar o sudo antes de surfar na WEB.

Mike P.

Answer

mas se eu for num terminal e digitar:

sudo konqueror

eu vo entrar no konqueror como root sem digitar nenhuma senha, o que pra mim &eacute; um A B S U R D O

Eu sou completamente contra o sudo

Felizmente a unica distro que eu conhe&ccedil;o que vem com o sudo ativado por padr&atilde;o &eacute; o Kurumin.

O comando sudo &eacute; um rombo e tanto na seguran&ccedil;a de um sistema UNIX-Like.

new_dsl500g, isso &eacute; uma coisa que pode ser configurada. Nas m&aacute;quinas que eu instalo, por exemplo, o acesso ao sudo s&oacute; &eacute; permitido com senha. E s&oacute; para os usu&aacute;rios confi&aacute;veis.

Ao contr&aacute;rio do que voc&ecirc; disse, no entanto, o Kurumin n&atilde;o vem com o sudo ativado por padr&atilde;o, pura e simplesmente. Ele vem ativado sim, mas s&oacute; para o usu&aacute;rio 'kurumin'. Lembre-se no entanto que o Kurumin &eacute; uma distro voltada para o uso dom&eacute;stico, por isso uma configura&ccedil;&atilde;o de seguran&ccedil;a t&atilde;o relaxada.

Para restringir o acesso e trazer o sistema para o mesmo patamar de outras distros, basta desabilitar o usu&aacute;rio 'kurumin'.

Outra vantagem do sudo &eacute; que todos os comandos executados com ele s&atilde;o registrados no log do sistema. Isso &eacute; uma situa&ccedil;&atilde;o muito mais controlada do que usar uma sess&atilde;o de su, ou pior ainda, logar-se no desktop como root.

PS: Esqueci de citar o principal uso do sudo. Digamos que eu queira deixar o usu&aacute;rio 'leleu' gravar CDs (precisa de acesso root). Com o sudo, eu posso liberar pra ele executar o 'cdrecord' e o 'k3b', sem precisar liberar o 'rm' nem o 'fdisk' nem o 'mkfs' ;)

Answer

[quote=Mike Pacasi]Interessante, s&oacute; que eu acho que os caras que tem acesso ao sudo, precisam ter acesso tamb&eacute;m como um outro usu&aacute;rio co...[/quote]


Sim ! Mas &eacute; essa mesma a id&eacute;ia  :D . O pessoal que usa o sudo, nesse caso, consegue apenas usar o snoop (ou o tcpdump), nada mais. Ou seja, a id&eacute;ia &eacute; fazer com que o usu&aacute;rio comum (n&atilde;o root) possa usar apenas determinados comandos pr&eacute;-estabelescidos pelo root. Se ele tentar usar um comando diferente do que aquele que ele tem permiss&atilde;o, o comando n&atilde;o ser&aacute; executado.

Answer

O problema maior que vejo, &eacute; com o uso indevido do sudo. Por exemplo, j&aacute; vi gente aqui sugerir colocar um editor de texto na configura&ccedil;&atilde;o do /etc/sudoers, imagina s&oacute;:
sudo pico /etc/sudoers Pronto! N&atilde;o preciso mais do sudo, dou a senha do root de uma vez para o usu&aacute;rio.
Esse t&oacute;pico se encheu de informa&ccedil;&otilde;es interessantes, serve at&eacute; de alerta para quem est&aacute; usando o sudo indiscriminadamente.

Answer

tb nao axo certo o sudo! se tem ma senha pro root eh pra nao ser usado por qualquer um! e o sudo quebra totalmente isso x/
podem at&eacute; fazer um virus com esse sudo! acaba com a seguran&ccedil;a do root!
e eu por exemplo uso linux a 1 mes + ou - somente to usando o kurumin! vai q eu mudo de distro e me acustumo com o sudo? xegar no outro distro nao tem sudo! ai vai ser sempre assim por exemplo. abrir o amsn pelo root:

sudo amsn
comando invalido
su
senha
amsn


+ trabalhoso nao axam?

Answer

talin, n&atilde;o pense na situa&ccedil;&atilde;o de uma m&aacute;quina que s&oacute; voc&ecirc; usa. Pense no caso de uma m&aacute;quina que v&aacute;rias pessoas usam, e voc&ecirc; quer permitir que algumas delas fa&ccedil;am algumas coisas que s&oacute; o root pode fazer.

Veja bem, n&atilde;o &eacute; pra todo mundo fazer tudo, nem alguns fazerem tudo.

&Eacute; pra as pessoas que o root escolheu fazerem as atividades que o root autorizou, e s&oacute; essas pessoas, e s&oacute; essas atividades.

Eu mesmo n&atilde;o gosto de deixar o sudo sem senha, como eu j&aacute; disse antes. S&oacute; fa&ccedil;o isso nas m&aacute;quinas onde o sudo com senha n&atilde;o funciona (sim, existem esses casos). Assim eu garanto que uma pessoa que encoste no console enquanto eu vou ao banheiro n&atilde;o consiga fazer M. Se bem que eu bloqueio meu console at&eacute; quando eu viro de costas pro monitor --- cacoetes que 2 anos de persegui&ccedil;&atilde;o deixaram em mim...

Ferramentas

Mover Tópico