Editando el fichero /etc/sudoers para delegar operaciones mediante el comando sudo

En la tira xkcd podemos ver la utilidad del comando sudo:

Mediante el comando sudo podemos realizar acciones como otro usuario. En el caso más sencillo se acostumbra a editar el ficher /etc/sudoers y añadir la siguiente linea:

usuario  ALL=(ALL) ALL

Evidentement esto nunca se debe usar en un tan alegremente… Los tres ALLs significan que el “usuario” podrá, en orden:

1. primer ALL: estando conectado desde cualquier maquina
2. segundo ALL: cambiar a cualquier otro usuario
3. tercer ALL: ejecuar qualquier comando

Este caso resulta útil quando se quiere equiparar el usuario con el perfil de root.

En el caso que no se así, que se quiera limitar, se puede hacer lo siguiente:

• El usuario maite pueda ejecutar cualquier comando como el usuario oracle:

  maite  ALL=(oracle) ALL

• El usuario maite pueda ejecutar cualquier comando como el usuario oracle si entra desde la red de la empresa:

  maite  172.20.0.0/16=(oracle) ALL

• El usuario maite pueda ejecutar el comando sqlplus como el usuario oracle si entra desde la red de la empresa:

  maite  172.20.0.0/16=(oracle) /oracle/product/10.0.2/db1/bin/sqlplus

En el caso que se quisiera aplicar el sudo a todo un grupo de usuarios se debería usar el carácter % para indicar que nos referimos a un grupo. Por ejemplo, si se quiere que el grupo dba pueda ejecutar cualquier comando, desde la red de la empresa, como el usuario mysql se debería definir lo siguiente en el /etc/sudoers:

%dba  172.20.0.0/16=(mysql) ALL

Relacionados

• sudo: auth could not identify password for
• sudo te insulta si te equivocas de contraseña
• Local root con las versiones 1.8.0-1.8.3p1 de sudo
• Evitando el paso a una shell con sudo
• Como ejecutar comandos como root sin password