home *** CD-ROM | disk | FTP | other *** search
/ Software of the Month Club 2000 October / Software of the Month - Ultimate Collection Shareware 277.iso / pc / PROGRAMS / UTILITY / WINLINUX / DATA1.CAB / programs_-_usrdoc / SUDO / OPTIONS.{_4 < prev    next >
Text File  |  1999-09-17  |  10KB  |  239 lines
  1. The following options may be used to configure sudo 1.4
  2.  
  3. FQDN
  4.     Define this if you want to put fully qualified hostnames in the sudoers
  5.     file.  Ie: instead of myhost you would use myhost.mydomain.edu.
  6.     You may still use the short form if you wish (and even mix the two).
  7.     Beware that turning FQDN on requires sudo to make DNS lookups which
  8.     may make sudo unusable if your DNS is totally hosed.
  9.     Also note that you must use the host's official name as DNS knows it.
  10.     That is, you may not use a host alias (CNAME entry) due to performance
  11.     issues and the fact that there is no way to get all aliases from DNS.
  12.     This is off by default.
  13.  
  14. LOGGING
  15.     How you want to do your logging.  Your choices are SLOG_SYSLOG, SLOG_FILE,
  16.     or SLOG_BOTH.  Setting this to SYSLOG is nice because you can keep all
  17.     your sudo logs in one place.  If you don't have syslog or if your syslog
  18.     is of an ancient vintage (4.2BSD, SunOS 3.x and all versions of Ultrix)
  19.     you should probably use FILE logging (the pathname for the log file is
  20.     in pathnames.h).  If you are really serious about security you may want
  21.     to set LOGGING to SLOG_BOTH (to keep people from killing your syslog with
  22.     a denial of service attack while they do something nasty).
  23.     The default is to use SLOG_SYSLOG.
  24.  
  25. LOGFAC
  26.     What syslog facility to log to.  This requires a 4.3BSD or later
  27.     version of syslog.  You can still set this for ancient syslogs
  28.     but it will have no effect.
  29.     The default is to use LOG_LOCAL2 but you may want to use LOG_AUTH.
  30.  
  31. MAXLOGFILELEN
  32.     Number of characters per line for the file log.  This is only
  33.     used if you are LOGGING to FILE or BOTH.  MAXLOGFILELEN is used to
  34.     decide when to wrap lines for nicer log files.  You can set it to 0
  35.     if you don't want any word wrapping in your log files.
  36.     The default is 80.
  37.  
  38. NO_ROOT_SUDO
  39.     Don't let root run sudo.  This can be used to prevent people from
  40.     "chaining" sudo commands to get a root shell by doing something
  41.     like "sudo sudo /bin/sh".
  42.     This is off by default.
  43.  
  44. ALERTMAIL
  45.     User that mail from sudo is sent to.  This should go to a sysadmin
  46.     at your site.
  47.     The default is "root".
  48.  
  49. SEND_MAIL_WHEN_NO_USER
  50.     Send mail to ALERMAIL if the user invoking sudo is not in the sudoers file.
  51.     You probably want this on so you can yell at people trying to use sudo
  52.     when they are not allowed to.
  53.     This is on by default.
  54.  
  55. SEND_MAIL_WHEN_NOT_OK
  56.     Send mail to ALERMAIL if the user is allowed to use sudo but the
  57.     command they are trying is not listed in their sudoers file entry.
  58.     This is off by default.
  59.  
  60. EXEMPTGROUP
  61.     If this is defined then users in the group defined by EXEMPTGROUP
  62.     don't need to enter a password when running sudo.  This may be useful
  63.     for sites that don't want their "core" sysadmins to have to enter
  64.     a password but where Jr. sysadmins need to.
  65.     This is off by default.
  66.  
  67. ENV_EDITOR
  68.     Makes visudo consult the EDITOR and VISUAL environmental variables
  69.     before falling back on the default editor.  Note that this may create
  70.     a security hole as most editors allow a user to get a shell (which would
  71.     be a root shell and hence, no logging).
  72.     This is off by default.
  73.  
  74. SHORT_MESSAGE
  75.     Omits the copyright message from the "lecture" one gets when running
  76.     sudo for the first time on a machine.
  77.     This is on by default.
  78.  
  79. NO_MESSAGE
  80.     Omits the "lecture" one gets when running sudo for the first time
  81.     on a machine.
  82.     This is off by default.
  83.  
  84. TIMEOUT
  85.     Number of minutes that can elapse before sudo will ask for a passwd again.
  86.     The default is 5, set this to 0 to always prompt for a password.
  87.  
  88. PASSWORD_TIMEOUT
  89.     Number of minutes before the sudo password prompt times out.
  90.     The default is 5, set this to 0 for no password timeout.
  91.  
  92. TRIES_FOR_PASSWORD
  93.     Number of tries a user gets to enter his/her password before sudo
  94.     logs the failure and exits.
  95.     The default is 3.
  96.  
  97. USE_INSULTS
  98.     Define this if you want to be insulted for typing an incorrect password
  99.     just like the original sudo(8).
  100.     This is off by default.
  101.  
  102. CLASSIC_INSULTS
  103.     Uses insults from sudo "classic."  If you just define USE_INSULTS
  104.     you will get the classic and CSOps insults.
  105.     This is on by default if USE_INSULTS is defined.
  106.  
  107. HAL_INSULTS
  108.     Uses 2001-like insults when an incorrect password is entered.  You must
  109.     define USE_INSULTS as well for this to have any effect.
  110.     This is off by default.
  111.  
  112. GOONS_INSULTS
  113.     Insults the user with lines from the "Goon Show" when an incorrect
  114.     password is entered.  You must define USE_INSULTS as well for this
  115.     to have any effect.
  116.     This is off by default.
  117.  
  118. CSOPS_INSULTS
  119.     Insults the user with an extra set of insults (some quotes, some original)
  120.     from a sysadmin group at CU (CSOps).  You must define USE_INSULTS as well
  121.     for this to have any effect.
  122.     This is on by default if USE_INSULTS is defined.
  123.  
  124. EDITOR
  125.     This is the default editor used by visudo (and the only editor used unless
  126.     ENV_EDITOR is defined).
  127.     The default is _PATH_VI (where vi lives).
  128.  
  129. MAILER
  130.     Mailer used to send mail when someone tries to sudo and access is denied.
  131.     As such, this should not be /usr/ucb/Mail or mailx.  Sudo is setup to
  132.     use sendmail, but it should be possible to use smail as well.
  133.     The default is _PATH_SENDMAIL (where sendmail lives).
  134.  
  135. UMASK
  136.     Umask to use when running the root command.  If you do not define this
  137.     sudo will preserve the umask of the user invoking sudo.
  138.     The default is 0022.
  139.  
  140. INCORRECT_PASSWORD
  141.     Message that is displayed if a user enters an incorrect password.
  142.     The default is "Sorry, try again."
  143.  
  144. MAILSUBJECT
  145.     Subject of the mail sent to the ALERTMAIL user.  The token "%h"
  146.     will expand to the hostname of the machine.
  147.     Default is "*** SECURITY information for %h ***".
  148.  
  149. PASSPROMPT
  150.     Default prompt to use when asking for a password.  Can be overridden
  151.     via the -p option.  Supports two escapes: "%u" expands to the
  152.     user's login name and "%h" expands to the local hostname.
  153.     Default is "Password:".
  154.  
  155. SECURE_PATH
  156.     Path used for every command run from sudo(8).  If you don't trust
  157.     the people running sudo to have a sane PATH environmental variable
  158.     you may want to define SECURE_PATH.  Another use is if you want to
  159.     have the "root path" be separate from the "user path."  You will
  160.     need to customize the path for your site.
  161.     NOTE: SECURE_PATH is not applied to users in the EXEMPTGROUP.
  162.     This is off by default.
  163.  
  164. IGNORE_DOT_PATH
  165.     If defined, sudo will ignore '.' or '' (current dir) in $PATH.
  166.     The $PATH itself is not modified.
  167.     This is off by default.
  168.  
  169. USE_EXECV
  170.     Use execv() to exec the command instead of execvp().  I can't think of
  171.     a reason to actually do this since execvp() is passed a fully qualified
  172.     pathname but someone might thoroughly distrust execvp().  Note that if
  173.     you define this you lose the ability to exec scripts that are missing the
  174.     '#!/bin/sh' cookie (like /bin/kill on sunos and /etc/fastboot on 4.3BSD).
  175.     This is off by default.
  176.  
  177. SHELL_IF_NO_ARGS
  178.     If sudo is invoked with no arguments it acts as if the "-s" flag
  179.     had been given.  Namely, it runs a shell as root (the shell is
  180.     determined by the SHELL envariable, falling back on the shell listed
  181.     in the invoking user's /etc/passwd entry).
  182.     This is off by default.
  183.  
  184. SHELL_SETS_HOME
  185.     If sudo is invoked with the "-s" flag the HOME environmental variable
  186.     will be set to the home directory of the target user (which is root
  187.     unless the "-u" option is used).  This option effectively makes the
  188.     "-s" flag imply "-H".
  189.     This is off by default.
  190.  
  191. USE_TTY_TICKETS
  192.     This makes sudo use a different ticket file for each tty (per user).
  193.     Ie: instead of the ticket file being "username" it is "username.tty".
  194.     This offers increased security in an open lab or with "shared"
  195.     accounts like "operator."  Note that this means that there will
  196.     be more files in the timestamp dir.  This is not a problem is your
  197.     system has a cron job to remove of files from /tmp (or wherever
  198.     you specified the timestamp dir to be).
  199.     This feature is off by default.
  200.  
  201. FAST_MATCH
  202.     When matching a given command to a path listed in the sudoers file,
  203.     only check the inodes for a match if the basenames match.
  204.     If you want links to a command to be allowed then you should turn
  205.     this off, but it will make things take a little longer.
  206.     This is on by default.
  207.  
  208. OTP_ONLY
  209.     When validating the user, only allow a One Time Password (OTP)
  210.     passkey.  Do not compare against the passwd file or use any
  211.     other authentication scheme.  This is only useful if you want
  212.     to force people to use s/key or opie.
  213.     This feature is off by default.
  214.  
  215. LONG_OTP_PROMPT
  216.     When validating with a One Time Password scheme (s/key or opie)
  217.     a two-line prompt is used to make it easier to cut and paste
  218.     the challenge to a local window.  It's not as pretty as the
  219.     default but some people find it more convenient.
  220.     This feature is off by default.
  221.  
  222. SUDOERS_MODE
  223.     File mode for the sudoers file (octal).  Note that if you
  224.     wish to NFS-mount the sudoers file this must be group
  225.     readable.  Also Note that this is usually set in the Makefile.
  226.     The default mode is 0440.
  227.  
  228. SUDOERS_UID
  229.     User id that "owns" the sudoers file.  Note that this is the
  230.     numeric id, *not* the symbolic name.  Also Note that this is
  231.     usually set in the Makefile.
  232.     The default is 0.
  233.  
  234. SUDOERS_GID
  235.     Group id that "owns" the sudoers file.  Note that this is the
  236.     numeric id, *not* the symbolic name.  Also note that this is
  237.     usually set in the Makefile.
  238.     The default is 0.
  239.