Permisos de administrador mediante /etc/sudoers

Por Gabriel CanepaPosts del SysAdmin, Uncategorized

En el post anterior explicamos que mediante visudo podemos editar de manera protegida el archivo /etc/sudoers de manera que ninguna otra persona pueda hacer lo mismo de manera simultánea. En esta oportunidad explicaremos cómo otorgar permisos de administrador utilizando las directivas correctas en este archivo.

Utilizar alias

Un alias es una palabra que se utiliza para describir una serie de elementos. En el archivo /etc/sudoers podemos utilizar esta técnica para establecer nombres más convenientes que se apliquen a un grupo de equipos, usuarios, o comandos. Si necesitamos modificar el grupo en algún momento para cambiar alguno de los objetos que lo componen podemos hacer el cambio en un solo lugar en vez de tener que hacerlo en todo el archivo.

Nuestro primer alias se llamará ADMINISTRADORES y estará compuesto por los usuarios gacanepa y jperez. Buscaremos la sección # User alias specification y agregaremos la siguiente línea:

User_Alias ADMINISTRADORES = gacanepa, jperez

A continuación, crearemos dos alias de comandos en la sección correspondiente (# Cmnd alias specifications): una para autorizar al usuario gacanepa a realizar la administración de usuarios con usermod y la siguiente para permitir que jperez instale, actualice, y remueva paquetes utilizando aptitude:

Cmnd_Alias PAQUETES = /usr/bin/aptitude
Cmnd_Alias USUARIOS = /usr/sbin/usermod

A continuación procederemos a asociar los alias de comandos con los usuarios mencionados.

Permisos de administrador para usuarios

Para asociar los alias que creamos anteriormente con los usuarios, agregaremos las siguientes líneas bajo # User privilege specification:

gacanepa ALL=(root) USUARIOS
jperez ALL=(root) PAQUETES

Además, utilizaremos la siguiente línea para permitir que los usuarios incluidos en el alias ADMINISTRADORES puedan utilizar el comando shutdown para reiniciar o apagar el equipo sin tener que ingresar su contraseña:

ADMINISTRADORES ALL=NOPASSWD:/sbin/shutdown

Luego de haber realizado los cambios mencionados hasta ahora, nuestro archivo sudoers debería tener el aspecto que aparece en la Fig. 1:

El aspecto de /etc/sudoers luego de los cambios
Figura 1 – El aspecto de /etc/sudoers luego de los cambios

En el próximo post veremos ejemplos para verificar las directivas que acabamos de agregar al archivo /etc/sudoers. ¡Nos leemos en breve!