Cómo editar el archivo sudoers en Linux

El archivo sudoers controla cómo los usuarios pueden acceder a los comandos de nivel raíz en Linux. De forma predeterminada, los sistemas operativos Linux configuran al primer usuario (durante el proceso de instalación) como administrador y le otorgan acceso a sudo y valores predeterminados sensibles.

Para la mayoría de los usuarios, estos valores predeterminados funcionan bien y no es necesario realizar cambios. Sin embargo, deberá editar el archivo si necesita otorgar acceso a sudo a nuevos usuarios, eliminar el acceso de un usuario, limitar lo que los usuarios pueden ejecutar como sudo, etc.

La edición del archivo Sudoers se realiza con el comando visudo en una terminal. Para abrir el archivo Sudoers con fines de edición, abra una ventana de terminal presionando  Ctrl + Alt + T en el teclado o busque una terminal en el menú de la aplicación.

Una vez que la ventana de la terminal esté abierta y lista para usar, inicie sesión en la terminal con la cuenta raíz.

Nota: si no puede iniciar sesión en la raíz con el comando su en Linux, deberá habilitar el inicio de sesión raíz. Para hacerlo, ejecute sudo -s , seguido de passwd .

su

Cuando inicie sesión como root, ejecute el comando visudo para abrir el archivo Sudoers.

EDITOR=nano visudo

Cuando el editor de texto Nano se inicie en la terminal, cargará el archivo Sudoers para editarlo. Siga la guía para aprender a realizar ediciones en sudo en Linux.

Agregar nuevos usuarios al archivo Sudoers

Quizás lo primero que deben hacer los usuarios al editar el archivo Sudoers es agregar un nuevo usuario. Para agregar un nuevo usuario, busque la siguiente línea de código.

# User privilege specification

Cree una nueva línea debajo de "raíz" y especifique el nuevo usuario. Por ejemplo, para agregar el usuario "derrik" a sudo, escribiría:

derrik  ALL=(ALL:ALL) ALL

Una vez que haya terminado de agregar su usuario, puede guardar las ediciones presionando Ctrl + O .

Agregar usuarios a través del grupo

Si ha agregado usuarios a sudo mediante el grupo "rueda" o el grupo "sudo", puede eliminar usuarios sin editar el archivo Sudoers.

Para agregar usuarios, abra una terminal y ejecute los siguientes comandos.

su usermod -a -G rueda nombre de usuario

O

su usuariomod -a -G sudo nombre de usuario

Eliminación de usuarios del archivo Sudoers

Si anteriormente agregó un usuario al archivo Sudoers en su sistema Linux y desea eliminarlo, puede hacerlo. Pero, primero, ubique la siguiente línea de código.

# User privilege specification

Una vez que haya localizado la línea de código, busque la línea de usuario. Por ejemplo, para eliminar el usuario "derrik" de sudo, elimine la siguiente línea de código.

derrik ALL=(ALL:ALL) ALL

Una vez que haya eliminado la línea de código, puede guardar sus ediciones usando Ctrl + O .

Eliminar usuarios a través del grupo

Si ha agregado el acceso sudo a través del grupo "rueda" o el grupo "sudo", puede eliminar usuarios del acceso sudo sin editar el archivo Sudoers. En su lugar, abra una terminal y ejecute los siguientes comandos.

su usermod -G rueda nombre de usuario

O

su usuariomod -G sudo nombre de usuario

Limitar lo que los usuarios pueden ejecutar

Agregar un usuario al archivo Sudoers puede ser peligroso ya que, de forma predeterminada, se les permite ejecutar todos los comandos con acceso de raíz elevado. Haga lo siguiente: si desea dar a los usuarios acceso a sudo pero desea limitar lo que ejecutan.

Primero, busque la línea de usuario. Por ejemplo, limite el usuario "derrik" para ejecutar solo comandos específicos como root cuando se especifique, como el código a continuación.

derrik ALL=(root) /usr/bin/app/path/here/

Deberá agregar una nueva línea para restringir cada comando. Presione Ctrl + O para guardar cuando haya terminado las ediciones.

Usar sudo sin contraseña

Es posible que desee editar el archivo sudoers para usar el  comando sudo  sin necesidad de agregar una contraseña. Esta función se conoce como "sudo sin contraseña". Es una característica excelente y conveniente. Sin embargo, puede ser inseguro.

Si sabe que no es seguro pero aún desea hacerlo, siga nuestra guía sobre cómo habilitar sudo sin contraseña en Linux .

Aumentar la seguridad de sudo

Aquellos que valoran la seguridad pueden querer aumentar la seguridad de sudo. Afortunadamente, es posible aumentar la seguridad de Sudoer habilitando la función use_pty . Esta característica garantiza que sudo debe ejecutarse en un espacio aislado, lo que dificulta la explotación con malware.

Para habilitar esta función, busque un área del archivo Sudoers con la línea "Predeterminados". Luego, presione Entrar para crear una nueva línea. Luego, agregue el siguiente código para habilitar la función use_pty .

Defaults use_pty

Cuando termine de editar, presione Ctrl + O.

Aumentar el tiempo de espera de sudo

De forma predeterminada, cuando un usuario ingresa una contraseña incorrecta con el comando sudo , permite 3 intentos antes de bloquear al usuario. Puede aumentar este tiempo de espera de 3 intentos a una cantidad personalizada.

Busque "Predeterminados" en su archivo Sudoers, presione Entrar para crear una nueva línea, luego ingrese el siguiente código.

Defaults  passwd_tries=CUSTOM_NUMBER

Para guardar sus ediciones, presione Ctrl + O .

Mostrar entrada de contraseña

Una de las cosas más molestas del comando sudo es cómo oculta la entrada de contraseña. Si desea revelarlo, deberá habilitar la retroalimentación de contraseña. Para habilitar la retroalimentación de contraseña, siga nuestra guía sobre el tema .