martes, 6 de mayo de 2008

Crear usuarios con privilegios administrativos

Usuarios sudoers.UNIDAD DE TRABAJO Nº 5

Cuando se instala el sistema, sólo el usuario creado durante la instalación puede realizar tareas administrativas, siempre que se ejecute la orden sudo. Si no queremos ejecutar la orden sudo contínuamente, se puede ejecutar sudo su una sóla vez, en cada sesión, y, a partir de ese momento, realizar las tareas administrativas.

Si queremos utilizar el usuario root, hay que habilitarlo de la forma descrita en la entrada Linux Ubuntu. Habilitar la cuenta de usuario root en este mismo blog.

Por cuestiones de seguridad, no es conveniente iniciar una sesión con el usuario root para trabajar normalmente. Es más seguro iniciar una sesión con cualquier otro usuario y ejecutar la orden sudo o sudo su cuando se quieran realizar tareas administrativas.

Cuando se crean nuevos usuarios, estos no pueden realizar tareas administrativas con la orden sudo, debido a que sólo los usuarios incluidos en el grupo admin pueden ejecutar la orden sudo para administrar el sistema. Esta configuración se realiza en el archivo /etc/sudoers, cuyo contenido se muestra a continuación:

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults
Defaults !lecture,tty_tickets,!fqdn
# User privilege specification
root ALL=(ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

La última línea de este archivo es la que indica que todos los usuarios miembros del grupo admin pueden realizar tareas administrativas con la orden sudo.

Si consultamos el archivo /etc/group, que es el archivo que contiene los grupos creados, y sus miembros, creados en el sistema, veremos una línea parecida a la siguiente:

admin:x:117:coralio,root

Esta línea indica que los usuarios coralio y root son los únicos usuarios miembros del grupo admin y, por lo tanto, sólo estos usuarios pueden realizar tareas administrativas con la orden sudo.

Para incluir un usuario en el grupo admin, se puede ejecutar la orden adduser usuario admin, donde usuario es la cuenta que se quiere agregar al grupo admin. Las siguientes líneas muestran la salida de esta orden:

root@servidor2dai:~# adduser usuario admin

Añadiendo usuario 'usuario' al grupo 'admin' ...

Terminado.

Si visualizamos el contenido del archivo /etc/group, veremos la siguiente línea:

admin:x:117:coralio,usuario

En esta línea observamos que el usuario con nombre usuario se ha añadido al grupo admin y, por lo tanto, podrá realizar tareas administrativas con la orden sudo.


1 comentario:

Anónimo dijo...

También se pueden añadir líneas al fichero /etc/sudoers del estilo:

#todos los miembros del grupo tom pueden hacer sudo
%tom ALL=(ALL) ALL

#el usuario pati es sudoer
pati ALL=(ALL) ALL