Informação de Configuração
O arquivo sudoers
pode ser bastante
complicado. Ele é composto por dois tipos de entradas: aliases
(basicamente variáveis) e especificações de usuário(a) (que
especificam quem pode executar o quê). A instalação instala uma
configuração padrão que não tem privilégios instalados para
nenhum(a) usuário(a).
Algumas mudanças comuns de configuração são configurar o caminho
para o(a) superusuário(a) e permitir que os membros do grupo
wheel executem todos os comandos depois de fornecerem as próprias
credenciais deles(as). Use os seguintes comandos para criar o
arquivo de configuração /etc/sudoers.d/00-sudo
como o(a) usuário(a)
root
:
cat > /etc/sudoers.d/00-sudo << "EOF"
Defaults secure_path="/usr/sbin:/usr/bin"
%wheel ALL=(ALL) ALL
EOF
Nota
Em instalações muito simples onde existe somente um(a)
usuário(a), possivelmente seja mais fácil apenas editar o
arquivo /etc/sudoers
diretamente.
Nesse caso, a entrada secure_path
possivelmente não seja necessária e usar sudo -E ... pode importar o
ambiente completo do(a) usuário(a) não privilegiado(a) para a
sessão privilegiada.
Os arquivos no diretório /etc/sudoers.d
são analisados em ordem léxica
classificada. Tenha cuidado para que as entradas em um arquivo
adicionado não sobrescrevam as entradas anteriores.
Para detalhes, veja-se man
sudoers.
Nota
Os(As) desenvolvedores(as) do Sudo recomendam enfaticamente usar o
aplicativo visudo
para editar o arquivo sudoers
.
Isso fornecerá verificação básica de sanidade, como análise de
sintaxe e permissão de arquivo, para evitar alguns possíveis
erros que poderiam levar a uma configuração vulnerável.
Se o PAM estiver instalado no
sistema, [então] Sudo será
construído com suporte a PAM.
Nesse caso, emita o seguinte comando como o(a) usuário(a)
root
para criar o arquivo de
configuração do PAM:
cat > /etc/pam.d/sudo << "EOF"
# Início /etc/pam.d/sudo
# Inclui as configurações padrão de autenticação
auth include system-auth
# Inclui as configurações padrão de conta
account include system-account
# Configura variáveis padrão de ambiente para o(a) usuário(a) do serviço
session required pam_env.so
# Inclui padrões de sessão do sistema
session include system-session
# Fim /etc/pam.d/sudo
EOF
chmod 644 /etc/pam.d/sudo