Como usar o Sudo no Debian, CentOS e FreeBSD

Você está aqui:
Tempo estimado de leitura: 3 min

Usar um sudousuário para acessar um servidor e executar comandos no nível de raiz é uma prática muito comum entre o Linux e o Unix Systems Administrator. O uso de um sudousuário é frequentemente associado ao desabilitar o acesso direto ao servidor, em um esforço para impedir o acesso não autorizado.

Neste tutorial, abordaremos as etapas básicas para desabilitar o acesso direto ao root, criar um usuário sudo e configurar o grupo sudo no CentOS, no Debian e no FreeBSD.

Pré-requisitos

  • Um servidor Linux recém-instalado com sua distribuição preferida.
  • Um editor de texto instalado no servidor seja nano, vi, vim, emacs.

Etapa 1: instalando o sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

ou

pkg install sudo

Etapa 2: Adicionando o usuário sudo

Um sudousuário é uma conta de usuário normal em uma máquina Linux ou Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Etapa 3: Adicionando o novo usuário ao grupo wheel (opcional)

O grupo wheel é um grupo de usuários que limita o número de pessoas que podem sufazer root. Adicionar seu sudousuário ao wheelgrupo é totalmente opcional, mas é aconselhável.

Nota: No Debian, o sudogrupo é frequentemente encontrado em vez de wheel. Você pode, entretanto, adicionar manualmente o wheelgrupo usando o groupaddcomando. Para o propósito deste tutorial, usaremos o sudogrupo para o Debian.

A diferença entre wheelsudo.

No CentOS e no Debian, um usuário pertencente ao wheelgrupo pode executar sue ascender diretamente a ele root. Enquanto isso, um sudousuário teria usado o sudo suprimeiro. Essencialmente, não há diferença real, exceto pela sintaxe usada para se tornar root , e usuários pertencentes a ambos os grupos podem usar o sudocomando.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Etapa 4: verificar se o sudoersarquivo está configurado corretamente

É importante garantir que o sudoersarquivo localizado /etc/sudoersesteja configurado corretamente para permitir sudo userso uso efetivo do sudocomando. Para conseguir isso, vamos ver o conteúdo /etc/sudoerse editá-los, quando aplicável.

Debian

vim /etc/sudoers

ou

visudo

CentOS

vim /etc/sudoers

ou

visudo

FreeBSD

vim /etc/sudoers

ou

visudo

Nota: O visudocomando será aberto /etc/sudoersusando o editor de texto preferido do sistema (geralmente vi ou vim) .

Comece a rever e editar abaixo desta linha:

# Allow members of group sudo to execute any command

Esta seção /etc/sudoersgeralmente é assim:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Em alguns sistemas, você pode não encontrar em %wheelvez de %sudo; Nesse caso, essa seria a linha sob a qual você começaria a modificar.

Se a linha que inicia %sudono Debian ou %wheelno CentOS e no FreeBSD não estiver comentado (prefixado por #) , isso significa que o sudo já está configurado e está ativado. Você pode então passar para o próximo passo.

Etapa 5: Permitir que um usuário que não pertença ao wheelnem ao sudogrupo execute o sudocomando

É possível permitir que um usuário que não esteja em nenhum dos grupos de usuários execute o sudocomando simplesmente adicionando-os da /etc/sudoersseguinte maneira:

anotherusername ALL=(ALL) ALL

Etapa 6: Reiniciando o Servidor SSHD

Para aplicar as alterações feitas /etc/sudoers, você precisa reiniciar o servidor SSHD da seguinte maneira:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Etapa 7: teste

Depois de ter reiniciado o servidor SSH, efetue logout e, em seguida, efetue login novamente como seu e sudo user, em seguida, tente executar alguns comandos de teste da seguinte maneira:

sudo uptime
sudo whoami

Qualquer um dos comandos abaixo permitirá que o sudo userse torne root.

sudo su -
sudo -i
sudo -S

Notas:

  • whoamicomando retornará rootquando acoplado sudo.
  • Você será solicitado a inserir a senha do usuário ao executar o sudocomando, a menos que você instrua explicitamente o sistema a não solicitar sudo userssuas senhas. Por favor, note que não é uma prática recomendada.

Opcional: permitindo sudosem digitar a senha do usuário

Como explicado anteriormente, essa não é uma prática recomendada e está incluída neste tutorial apenas para fins de demonstração.

Para permitir que você sudo userexecute o sudocomando sem ser solicitado pela senha, sufixe a linha de acesso /etc/sudoerscom NOPASSWD: ALLo seguinte:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Nota: Você precisa reiniciar seu servidor SSHD para aplicar as mudanças.

Etapa 8: Desabilitar o acesso root direto

Agora que você confirmou que pode usar o seu sudo usersem problemas, é hora da oitava e última etapa, desabilitando o acesso direto à raiz.

Primeiro, abra /etc/ssh/sshd_configusando seu editor de texto favorito e encontre a linha que contém a seguinte string. Pode ser prefixado com um #caractere.

PermitRootLogin

Independentemente do prefixo ou do valor da opção /etc/ssh/sshd_config, você precisa alterar essa linha para o seguinte:

PermitRootLogin no

Por fim, reinicie seu servidor SSHD.

Nota: Não esqueça de testar suas mudanças tentando SSH em seu servidor como root. Se você não conseguir, isso significa que você concluiu com êxito todas as etapas necessárias.

Isso conclui nosso tutorial.

Esse artigo foi útil?
Não Gostei 0
Visualizações: 306

Ainda não Têm uma Conta?

Então Cadastre-se

Nome de Usuário*
E-mail*
Senha*
Confirmar Senha*

Já têm Uma Conta? Click Aqui.

Já tem uma Conta?

Ainda não tem Conta?