Asignar permisos sudoers

Asignar privilegios a usuarios o grupos con sudoers – I

 Una persona que ha tratado con Ubuntu u otra distribución de la familia de Debian, más tarde o más temprano, descubre el comando sudo.

Pero antes de nada, explicaremos en que consiste realmente el comando sudo:

El comando sudo otorga privilegios que permiten suplantar al administrador del sistema (root).

Los usuarios o grupos de usuarios que tienen derecho a hacerlo se encuentran en el fichero sudoers.

De modo que editando este fichero, podremos declarar quienes pueden.

Antes de editar el fichero sudoers, tomaremos la precaución de hacer una copia:

[$] sudo cp /etc/sudoers /etc/sudoers.copia

Para editar el fichero /etc/sudoers tenemos que usar el comando [$] visudo que nos permitirá modificar el fichero con el editor vi.

Puesto que a muchos usuarios no les gusta usarlo, a continuación explicaré que hay que hacer para usar nuestro editor preferido:

Si intentamos editar el fichero /ect/sudoers con cualquier editor, por ejemplo:

[$] sudo gedit /etc/sudoers

Podremos comprobar que el fichero no es modificable (solo-lectura), por lo que deberemos ejecutar antes: [$] sudo chmod u+w /etc/sudoers

En el apartado identificado como: “# User privilege specification” al final del fichero, es el lugar indicado para asignar permisos.

usuario-grupo MAQUINA=(Usuario_con_privilegios)=COMANDO

Las opciones de ejecución son diversas y nos permiten regular con un nivel de seguridad el comportamiento de ciertas aplicaciones a la hora de ser invocadas.

Pero nos quedaremos con el uso de NOPASSWD (evita que se nos solicite la contraseña).

En el fichero, podremos observar como existe una línea similar a la siguiente:

root ALL=(ALL) ALL

El usuario root cuenta con acceso total al sistema, previo reconocimiento de su contraseña.

Los usuarios se pueden escribir en distintas líneas o separados por comas.

Para conceder el control total a los usuarios albireo y lycoris, solicitando la contraseña deberemos escribir:

albireo, lycoris ALL=(ALL) ALL

No obstante, para que no se solicite la contraseña: ALL=(ALL) NOPASSWD: ALL

Y si deseamos conceder permisos a nivel de grupo, deberemos escribir % antes de su nombre:

%proyecto_lyc ALL=(ALL) ALL

Una vez hemos terminado de editar el fichero:

Si hemos usado visudo, escribimos :wq

Si hemos usado otro editor (por ejemplo: gedit), guardamos el fichero y ejecutamos la siguiente línea para devolver el fichero a su estado habitual:

[$] sudo chmod u-w /etc/sudoers