Sudo

17.7.2000

Ji╛ del╣φ dobu jsem p°em²╣lel nad tφm, jak umo╛nit b∞╛nΘmu u╛ivateli spou╣t∞t programy jako superu╛ivatel, bez nutnosti neustßlΘho p°epφnßnφ se pomocφ su. Hned na ·vod musφm podoktnout, ╛e jsem tuto vlastnost pot°eboval na sv∙j poΦφtaΦ, na kterΘm pracuji pouze jß a nikdo jin². B∞╛nou prßci (nap°. psanφ Φlßnk∙ pro Wastelands.cz :-)) provßdφm jako normßlnφ u╛ivatel a administraci jako root. Z tohoto d∙vodu se nemusφm obßvat ╛adnΘho nebezpeΦφ p°i pou╛itφ programu Sudo. Posouzenφ bezpeΦnosti nasazenφ na velk²ch systΘmech s mnoha u╛ivateli ponechßm na jednotliv²ch administrßtorech. Tak╛e tento Φlßnek je v∞novßn pouze popisu funkΦnosti a mo╛nostφ programu.

Jak jsem ji╛ uvedl, Sudo je aplikace, kterß umo╛≥uje normßlnφm u╛ivatel∙m spou╣t∞t vybranΘ programy jako superu╛ivatel. V╣echny provedenΘ p°φkazy jsou logovßny vΦetn∞ sv²ch parametr∙. Ve spojenφ se syslog dΘmonem umo╛≥uje logovßnφ p°φkaz∙ na centrßlnφ poΦφtaΦ. Sudo v╣ak nenφ nßhrada shellu, proto╛e programy jsou spou╣t∞ny jako jeho parametry. Sudo dßle pou╛φvß systΘm Φasov²ch znaΦek. To znamenß, ╛e pokud u╛ivatel pou╛ije Sudo a zadß sprßvnΘ heslo, zφskß oprßvn∞nφ nap°. na 5 minut (je mo╛no volit p°i kompilaci). P°i ka╛dΘm dal╣φm pou╛itφ p°φkazu se interval op∞t zaktivuje na dal╣φch periodu. To zajistφ, ╛e pokud u╛ivatel odejde od poΦφtaΦe a neodhlßsφ se, prßva nastavenß pomocφ Sudo jsou po uplynutφ zadanΘho Φasu deaktivovßna. Nastavenφ parametr∙ pro Sudo se provßdφ v konfiguraΦnφm souboru sudoers.

Instalace
Program lze zφskat na adrese www.courtesan.com/sudo/sudo.html. Po rozbalenφ archivu se postupuje obvykl²m zp∙sobem. P°ed spu╣t∞nφm skriptu ./configure si jej projd∞te a upravte hodnoty dle po╛adavk∙. Jak jsem ji╛ uvedl, zde je mo╛no nastavit zßkladnφ parametry jako je timeout na odhlß╣enφ, nastavenφ adresß°∙ pro aplikaci a konfiguraΦnφ soubory apod. Pokud mßte nastavenΘ parametry ve skriptu ./configure, nßsleduje spu╣t∞nφ znßmΘ sekvence

./configure

make.

make install

Pokud p°edchozφ kroky prob∞hly ·sp∞╣n∞, je t°eba zeditovat konfiguraΦnφ soubor sudoers pomocφ programu visudo. Ten naleznete v adresß°i /usr/local/sbin. Pokud nebudete v∞d∞t jak nato, m∙╛ete se podφvat na p°ilo╛en² soubor sample.sudoers. Pokud chcete zaznamenßvat pou╛itφ pomocφ dΘmona syslogd, upravte soubor /etc/syslog.conf podle vzorovΘho souboru sample.syslog.conf, kter² je stejn∞ jako sample.sudoers p°ilo╛en v instalaci aplikace. Nastavenφ jednotliv²ch u╛ivatel∙ v konfiguraΦnφm souboru se °φdφ podle nadefinovan²ch seznam∙, jejich╛ struktura je podrobn∞ popsßn v manußlu k aplikaci.

Pou╛itφ
Po ·sp∞╣nΘm nastavenφ po╛adovanΘ konfigurace, mohou autorizovanφ u╛ivatelΘ spou╣t∞t programy v nßsledujφcφ tvaru.

# sudo ls /var/log/adresar_citelny_pouze_jako_root

Tento p°φkaz zajistφ b∞╛nΘmu u╛ivateli, pokud je sprßvn∞ autorizovßn, ·sp∞╣nΘ provedenφ p°φkazu ls v adresß°i, kter² mß nastavena prßva ke Φtenφ pouze pro u╛ivatele root.


# sudo shutdown -r now

Dal╣φ p°φklad umo╛nφ b∞╛nΘmu u╛ivateli restartovat systΘm, samoz°ejm∞ pokud jsou spln∞ny nastavenΘ podmφnky. Vφce p°φklad∙ pou╛itφ a konfigurace aplikace naleznete v p°ehlednΘm manußlu.

Jak jsem se zmφnil v ·vodu, program m∞ zaujal, proto╛e jsem n∞co podobnΘho hledal. Moc podrobn∞ jsem jej zatφm nezkoumal, tak╛e si ani nedovolφm posuzovat bezpeΦnost jeho pou╛itφ. Zdß se v╣ak, ╛e pokud si administrßtor dß zßle╛et na konfiguraci jednotliv²ch u╛ivatel∙, nem∞l by s bezpeΦnostφ b²t problΘm. Toto rozhodnutφ v╣ak ponechßm na ka╛dΘm administrßtorovi zvlß╣╗.