Contrasinal de root para sudo

7 respuestas [Último envío]
xiseme
Desconectado/a
se unió: 01/14/2007

Entendo o xeito en que ubuntu usa sudo con usuarios que poden administrar ou non; pero non é do meu agrado (coma sempre para gustos cores).

En particular non me gusta que sudo pida o contrasinal do usuario en uso en vez da do root.

1.- Cómo fago para que sudo use o contrasinal de root? unha vez creada a conta root, claro.
Millor aínda sería poder poñer un contrasinal administrativo independente se pode?

2.-No seu defecto Cómo quito sudo sen cargarme media lista de paquetes? ;-)

Trisquel
Desconectado/a
se unió: 12/21/2004

Podes activar a conta de root executando "sudo passwd" na terminal, co que poderás executar "su" ou facer login coma root por consola ou ssh.

e logo podes modificar o /etc/sudoers co comando "EDITOR=/usr/bin/gedit visudo" (coma root) para que teña este contido:

root ALL=(ALL) ALL
Defaults:ALL rootpw,timestamp_timeout=1
ALL ALL=(ALL) ALL

Con esto terás o funcionamento de Trisquel clásico, pero moitos programas pedirán a contrasinal do usuario na interfaz, cando realmente esperarán obter a de root, polo que pode resultar un pouco confuso.

Editado: non é realmente recomendable facer isto, lease o resto do fío.

Cóntanos a túa experiencia.

xiseme
Desconectado/a
se unió: 01/14/2007

Modificando o sudoers obtemos un comportamento clásico de sudo en consola e synaptic.

As aplicacions que teñen/precisan a opción de desbloquear, requiren o contrasinal do usuario; ata tal punto, que se desde consola facemos por ex. sudo users-admin -->passwroot--> ábrese a interfaz gráfica sen opción de desbloqueo.
Mesmo desinstalando sudo e gksu (1), permiten funcionar co contrasinal do usuario.
Teño que imaxinar logo, que os controla outro programa.

(*)Como pedía desinstalar outras dependencias, xa de paso desisntaléi máis, total o sistema xa non é "virxe".

Lín nalgures que en pam.d se controlan finalmente os permisos. Vou borrar todos os seus ficheiros a ver se se rexeneran. Por probar ...
Edito:
Xa probéi nin te deixa logearte en tty. pam.d debe ser o baluarte de seguridade.(que atrevida é a ignorancia. non-si?)

quidam2
Desconectado/a
se unió: 12/22/2004

O que tratas de facer é bastante complicado (alomenos querendo cambiar tan de raiz o sistema) e o máis probable e que non o necesites. Eu pensaba coma ti, pero co tempo daste conta de que é un sistema de administración de usuarios máis completo e tamén máis seguro se se usa ben.

Os programas que precisan privilexios de administrador non solicitan "a contrasinal do usuario" se entendemos que piden a do usuario que xa esta logueado. En realidade piden a contrasinal de un dos usuarios da lista, que son es que están no grupo admin. Cando só tes un usuario pode parecer confuso, pero e moito máis claro cando tes varios. Pensa no usuario que creas na instalación coma no root, pero un root usable en entorno gráfico. Logo so tes que crear contas non de admin para o resto da xente.

xiseme
Desconectado/a
se unió: 01/14/2007

Comprendo como o fai trisquel-ubuntu con sudo /sudoers.; pero definitivamente, non me parece atinado. Cando menos hai que axustalo. Que pida contrasinal do usuario que normalmente son frouxas para min é innegociable. Ademáis vexo que, ao menos por defecto, só o grupo admin ten habilitado sudo. Enton ... Só un administrador? Todos? ummmmmm...
Penso tamén que ter sudo + su "es tontería"; ou un ou outro.

Estiven remexendo, intentandoo, dando paus de cego, ata que me perdín sen conseguilo.
Daquela reinstaléi en modo cd-vivo. Modifiquéi repositorios e apariencia;engadín e quitéi aplicacións, por ver se instalaba coas modificacións feitas. Pero, non, instalóu coma sempre.(1)

Ademáis do usuario da instalación (con forte contrasinal, que queda, seguindo o comentario de quidam ;-) a modo de root como único con privilexios de administración) creéi un usuario-xeral, sen atribucións; de tal xeito que:

  • --A conta de xestión funciona verdadeiramente como root, con sudo[-s]
  • --O usuario-xeral, que non ten máis privilexios que os de acceder aos dispositivos, é un híbrido. Porqué? porque unhas cousas sí, e outras non. ....ggrrrrrr.......
    • ---Non pode instalar/actualizar (como ten que ser).
    • De feito synaptic non aparece no menú, nin o actualizador na barra de tarefas. Tampouco desde consola/tty (non pertenece ao grupo sudoers)
    • Sí aparece no menú, e non debería penso eu, sistema-->administracion-->Xestor actualizacións pero non acepta contrasinais .. "Fallóu .... o mecanismo sudo non lle permite ....consulte administrador .."
    • Cousa parecida instalando impresora, parece que sí e ao fin é que non.
  • ---Pode xestionar, e penso que non debería, usuarios, rede ... nos que a gui ten a opción "desbloquear"(gnome-system-tools?) usando contrasinal dun usuario-xestor.

Creo ter atopado dúas vías para o meu propósito

-Complex: Parece su pero é só sudo (sen activar root)
Conta usuario instalación símil usuario-root (non traballar con ela conectado a internet). Esixir contrasinal do usuario-root a todos e sempre. Ningún outro usuario no grupo admin. Todos no grupo users(2). Grupo users en sudoers(2) con "poderes" ALL(pendente de afinar).

Defaults:ALL runas_default=usuario-root, runaspw, timestamp_timeout=0
%users ALL=(ALL) ALL

Funciona. Uso sudo como se fora su, sen root activado. Na consola se quero lanzar aplicacións gráficas, gksudo en vez de sudo, que é o que corresponde.

Tamén descubrín que antepoñendo gksudo nos comandos dos menús das aplicación gnome-system-tools, pide primeiramente o contrasinal; se o pós abre desbloqueado, senon non o abre.
Isto vai ben para a outra vía

-Simplex: root existe e su é o seu comando (activamos root e desactivamos sudo)
Activamos a conta de root, como se indica na primeira resposta. A maiores comentamos a liña de privilexiados no /etc/sudoers (sempre co comando visudo) e aló vai sudo a durmir atá que o despertemos.
#%admin ALL=(ALL) ALL

Fin (porfin!). Saúdos.

(1) E logo, non estaría ben poder axustar (e probar) o sistema en modo cd-vivo, e despóis de deixalo ao gusto, instalálo permanentemente?
(2) Non atopéi grupo sudo, porén creo o grupo users de usuarios normais, que extranamente tampouco existe. Corrixo: na última instalación SI aparece o grupo users

Trisquel
Desconectado/a
se unió: 12/21/2004

Por defecto, e coma sistema recomendado e soportado, a configuración é a que comentas, con matices:

-A(S) conta(S) de xestión son as do grupo admin, poden executar comandos coma root con sudo
-Os usuarios xerais non poden instalar paquetes, coma ten que ser. Instalar paquetes require ser root, pois os scripts de instalación dos mesmos execútanse con uid 0. Peritir ós usuarios acceder ó instalador e totalmente desaconsellable.
-O aceso ó actualizador non debería de aparecer, é un fallo e o amañaremos. (gracias!). O mesmo para a impresora se non é usuario do grupo lpadmin.
-A posibilidade de desbloquear faise mediante "policykit", que tén un completo sistema de administración en "trisquel > sistema > administración > autorizacións". Require a contrasinal dun usuario que esté no grupo admin, e pode configurarse peza por peza.

E agora, alguns consellos:
-Sudo e su son cousas diferentes; su serve para cambiar de usuario (Switch User), non só para "ser root".
-Sudo, por outra parte, esta feito para permitir a escalada controlada de privilexios (SuperUser DO). É configurable, e almacea todos os comandos executados nun log, polo que é a forma recomendada de executar comandos con privilexios altos.
-Se o que precisas é unha shell temporal coma root, simplemente executa "sudo bash", ainda que é moi pouco recomendable; é preferible acostumarse a "ser root" o mínimo posible. Con sudo nunca esquecerás unha sesión de root aberta.
-Sobre o método simple (que pareceme o máis apropiado dentro do que cabe): a única diferencia é poder ter login na consola coma root, e poder facer "su". Ambas cosas son case sempre prescindibles, pero coma non e certo sempre (se unes o equipo a un dominio ldap, por exemplo), existe a posibilidade que comentas. Por outra parte, deshablilitar esa liña do sudoers fai que o grupo admin non teña forma de administrar as cousas, asi que pasas de ter un sistema con administradores flexibles a un único root. Ademais deixas de ter un rexistro dos comandos executados con id=0 (/var/log/auth.log)
-Engadiremos un manual sobre coma empregar eficientemente o sistema de administración no wiki, e (coma en realidade non me parece un bo consello, pido disculpas) vou a editar a primeira mensaxe sustituíndoa polo que dis no modo simple (agas a parte de desactivar o grupo admin).

Para rematar:
1: O live elimina gran parte do sistema de seguridade e de administración do arrinque, pois non o precisa e así resulta un entorno live máis usable. Non é un sistema válido para empregar no disco, por iso cando se instala o fai "esquecendo" os cambios. Se queres persoalizar o cd, extrae o contido, edita o arquivo preseed, e grábao de novo.
2: Os grupos están listados en /etc/group, verás que o grupo sudo é o 27 e o users o 100. O grupo users non se usa en virtude do configurado en /etc/adduser.conf, que indica que se cree un grupo para cada usuario. Pódelo cambiar se queres.

Saúdos

PS: quidam tamén son eu (Rubén), pero estaba a empregar un usuario de probas sen darme conta.

xiseme
Desconectado/a
se unió: 01/14/2007

Ahhh haaa hhha! asé que eras ti! eh? Pois nada, encantado de coñecerte e saúdos (aos "dous")

Vale, vaaale. Miraréi de adaptarne aos novos tempos (1)

Por clarificarme, a ver se son gráfico: un usuario-xestor (eu :-) ) un(s) usuario-xeral (o meu fillo :-o )

Usuario-xeral : non pode facer nada malo (para o pc), nin ten atribucións, nin pode usar sudo.
Se tén algun problema, me chama, abro outra sesión como "mandamáis", fago o que haxa que facer, cerro sesión e listo.
Usuario-xestor : Estando no grupo admin e con sudo o mundo é del-meu.
Podería esnaquiza-lo sistema, pero eso non é problema porque todo o mundo sabe que estóu de admin porque disto sei dabondo (mentira grande).

Agora ben, no uso cotián (internet, correo, conectarme á miña rede, ...),

a.- Estóu seguro de cara ao exterior? (2) ou ...
b.- Debería crearme unha conta de usuario-xeral ?
c.- Estaría ben crearme unha conta usuario-xeral con sudo ?
d.- Debería xa de irme calando, e deixarme de tanta pregunta ?

d.---Penso que sí. Saúdos de novo.

P.D.:
Disculpas. Por dar tanto a "matraca"
Disculpas. Miréi en modo gráfico. Non vía eses grupos.
Grazas por explicar o do cd-live ... bueno, polas explicacións en xeral.

(1) Entendín que non hai que "desmontar" o sistema basado en sudo. En todo caso habilitar root e usar su só se é absolutamente necesário.
(2) Razonablemente seguro. Xa séi que non existe a seguridade absoluta, nin se pretende. Eso sí, trato de coller "hábitos" de uso axeitados; de ahí a miña teima.

Trisquel
Desconectado/a
se unió: 12/21/2004

a,b,c: Usando sudo o teu usuario non ten por si mesmo privilexios (nin user id=0), o que é moi seguro. O único risco está na contrasinal, calquera que a descubra sería root executando "sudo bash". Coma un usuario de uso diario ten máis posibilidades de "compartir" a contrasinal que un de uso especial coma o root, (pongamos por exemplo que instalas un servidor de ftp e te conectas mentras alguen "escoita" na rede), se queres a máxima seguridade recoméndote que teñas unha conta de admin e outra de usuario xeral, e que uses a cotío a segunda.

d: NON, ¡en absoluto! Para eso está o foro, e todos aprendemos cousas con estas conversas. Sobran as disculpas. :)