Ecco cosa fare e non fare con sudo in Linux

Sudo in Linux permette all'amministratore di sistema di concedere ad altri utenti i privilegi per eseguire una o più applicazioni a cui normalmente non avrebbero diritto. Questo è sicuramente uno dei vantaggi di sudo, come anche la possibilità di creare gruppi, di stabilire dei secure path e dei timeout. Ecco qualche consiglio su come utilizzare al meglio sudo, evitando alcuni errori che potrebbero far perdere tempo agli utenti.

Best Practices con sudo in Linux

Molti utenti Linux hanno familiarità con sudo in questi giorni. Ubuntu ha fatto molto per diffondere sudo tanto da far valere il suo utilizzo e incoraggiare gli utenti a usarlo passando all'account root per installare il software ed eseguire altre attività amministrative. Ma c'è molto di più su sudo che gli utenti e gli amministratori dovrebbero conoscere.

Quello che molti utenti non sanno di sudo è che può essere utilizzato per eseguire comandi come qualsiasi utente, non solo l'utente root. Nelle mani di un amministratore esperto, sudo in Linux può essere utilizzato per impostare le autorizzazioni al fine di fornire agli utenti l'accesso a svolgere alcuni compiti amministrativi, senza dare via le chiavi di accesso. E’ necessario utilizzare il comando visudo per modificare il file /etc/sudoers.

E’ allettante e semplice, offrire agli utenti di fiducia un accesso completo con sudo e consentire loro di eseguire un qualsiasi comando di qualsiasi utente. Tuttavia è meglio combattere questa tentazione, perché si dovrebbe limitare l'accesso al minimo possibile. Vediamo allora quali sono queste Best Practices di sudo in Linux.

Per prima cosa si può limitare il cambio di account: se possibile, non configurare sudo per permettere agli utenti di passare a un altro account. Invece, provare a configurare sudo per permettere agli utenti di eseguire comandi specifici, come gli utenti che hanno bisogno di essere per farlo. Per esempio, se c'è una necessità per l'utente di installare un software, può consentire loro di eseguire RPM o APT come utente root senza passare per l'utente root. Come seconda Best Pracrice si sconsiglia di usare “All”: uno degli errori più comuni è quello di concedere a tutti l'accesso a tutti i comandi, l'accesso a tutti gli utenti, o di qualsiasi altro cambio. Può richiedere molto tempo per bloccare l'accesso, ma ne vale la pena. Se possibile, meglio usare l'autorità da parte di gruppi, piuttosto che singoli utenti. Per esempio, hanno un gruppo di amministratori che ha privilegi amministrativi per la gestione dei pacchetti e degli aggiornamenti. In questo modo, non è necessario modificare sudoers ogni volta che si aggiunge o si rimuove un utente nuovo. Per quanto riguarda il Sudoers Split, se si dispone di molti sistemi di gestione e non si desidera copiare lo stesso file / etc / sudoers file a tutti i sistemi, è possibile abbattere i file sudoers in blocchi e includere i file con le configurazioni sudo specifiche. Stabilire una secure path è sempre una buona idea: bloccare il percorso per una cartella, specificando secure_path in sudo serve a garantire che gli utenti non possano eseguire i comandi al di fuori del secure_path.Assicurarsi inoltre di avere un insieme adeguato di timeout. Se è troppo breve, gli utenti saranno rapidamente frustrati. Una buona regola è di circa cinque minuti. Per impostazione predefinita, sudo può accedere a un file di log di messaggi comuni insieme ai messaggi di sistema. Si tratta di un setup accettabile per i sistemi di singolo utente, come un desktop Ubuntu, ma non così male per i server. Configurare sudo in modo che abbia il suo proprio file di log per la visibilità e per le attività dei sudoers.

I difetti di sudo in Linux

Sudo in Linux è uno strumento potente, ma è anche complesso da configurare bene e difficile da mantenere. Quando viene utilizzato da amministratori con esperienza, è un metodo adeguato di attuazione dei controlli di ruolo basati sull’accesso. Ma per i negozi più grandi con decine o centinaia di server, sudo presto inizia a mostrare i suoi difetti. Si può puntellare sudo con strumenti aggiuntivi. Un modo è quello di utilizzare un quadro di configurazione per gestire configurazioni sudo su più sistemi. Questo può essere particolarmente efficace nei negozi che si occupano prevalentemente di Linux e Unix.

Se l'organizzazione ha implementato Microsoft Active Directory in una rete mista di server Windows e Linux, è possibile utilizzare Enterprise allo stesso modo per colmare i sistemi Linux e Unix di Active Directory. Non solo è possibile legare Linux e Unix per i login credenziali Active Directory, ma anche a gestire configurazioni di sudo per tutti i server della rete.

Scarica subito una copia gratis

Scrivi un commento

Seguici anche sul tuo Social Network preferito!

Send this to a friend