Sudoers 1.8.12 - Parte IV - Manual
Esse artigo é parte de uma série de artigos sobre sudo. Essa é a quarta parte do manual Sudoers 1.8.12 como encontrado no Slackware Current.
[ Hits: 5.539 ]
Por: Perfil removido em 18/09/2015
Etiquetas
Etiquetas com inteiros:
- closefrom - antes de executar um comando, sudo fecha todos os descritores de arquivos abertos, exceto as saídas padrão e de erro, além da entrada padrão. Esses três descritores são reservados pelo sistema com os números 0,1 e 2. Assim, sudo atua a partir do descritor 3 por padrão. Esse comando modifica esse padrão.
- passwd_tries - O número de tentativas que um usuário pode fazer antes de sudo logar uma falha e sair. O padrão é 3 tentativas.
Etiquetas com inteiros: em um contexto booleano:
- loglinelen - Número de caracteres por linha para o arquivo de registros (log). O valor é utilizado para decidir quando quebrar linhas para ter um registro visualmente mais legível. Essa opção não afeta registros feitos por syslog, somente arquivos de registro em texto puro são afetados. O padrão é 80 caracteres por linha. O valor zero ou negar logicamente essa opção desativa a quebra de linha.
- passwd_timeout - Número de minutos antes de sudo desistir de um prompt. Se configurado como zero, sudo nunca desiste. Esse parâmetro aceita valores fracionados de tempo como 2.5 minutos. O padrão é 5 minutos.
- timestamp_timeout - Número de minutos que podem decorrer antes de sudo perguntar pela senha novamente. São aceitos valores fracionados de tempo. O padrão é 5 minutos. Se configurado como zero, então sudo SEMPRE pede a senha novamente para o usuário. Atenção: Se configurado para um valor negativo (menor que zero) a estampa de tempo NUNCA expira. Isso pode ser útil com as opções "-v" e "-k" de sudo.
- umask - A máscara de usuário que será utilizada quando sudo está executando o comando. Negar essa opção ou configurar como 0777 preserva a máscara padrão do usuário que invocou sudo. A máscara utilizada, normalmente, é uma união entre o valor da máscara padrão do usuário e o valor da opção umask, cujo padrão é 0022. Isso garante que sudo nunca diminui o valor de umask quando executando um comando. Nota: em sistemas que usam PAM, o padrão de configuração de PAM pode definir seu próprio valor de umask, esse valor será sobrescrito pelo valor em sudoers.
Etiquetas com cadeias de caracteres:
- badpass_message - Mensagem exibida se um usuário entrar uma senha incorreta. O padrão é "Sorry, try again." Mas, você pode ativar insultos.
- editor - Uma lista separada por dois-pontos com os nomes dos editores de texto que podem ser utilizados por visudo; que escolhe um que combina com a variável de ambiente EDITOR, se possível. O padrão é vi.
- iolog_dir - O diretório de nível superior que será utilizado quando construindo o caminho para o local do diretório de registro de logs de I/O. Necessário se as opções log_input ou log_output são ativadas, ou se LOG_INPUT ou LOG_OUTPUT estão presentes no comando. A sequência de números de sessão, se houver, são armazenadas neste diretório. O valor padrão por omissão é /var/log/sudo-io. As seguintes sequências de escape são suportadas:
- %{seq} - Expande para um número de base 36 em uma sequência que cresce monotonicamente. Cada par de dígitos fornecido é utilizado para criar um diretório. Por exemplo, 0100A5 gera 01/00/A5
- %{user} - Expande para o nome de login do usuário que invocou sudo.
- %{group} - Expande para o nome do grupo associado ao UID real do usuário.
- %{runas_user} - Expande para o nome de login do usuário, com o qual sudo executará o comando.
- %{runas_group} - Expande para o nome do grupo do usuário, com o qual sudo executará o comando
- %{hostname} - Expande para o nome local do host, sem o nome de domínio.
- %{command} - Expande para o nome base do comando sendo executado (sic?). Em adição, quaisquer sequências de escape suportadas pela função strftime(3) será expandida. Para incluir um caractere "%" com seu valor literal, use outro caractere "%" para escapar. Por exemplo, "%%" resulta em "%" neste caso.
- iolog_file - O nome de caminho relativo para iolog_dir. Diretório no qual são armazenados os registros de log de entrada e saída quando LOG_INPUT e LOG_OUTPUT estão presentes para um comando. Observe que iolog_file pode conter componentes de diretório. O padrão é -%{seq}. As sequências de escape são idênticas ao comando anterior. Em adição as sequências de escape, nome de caminhos que terminam em seis ou mais "XS", terão essa variável substituída por uma combinação única de dígitos e letras, similar a função mktemp (3). Se o caminho criado pela concatenação entre iolog_dir e iolog_file já existe, o arquivo de registro de log de I/O atual será truncado e sobrescrito, a menos que, iolog_file termine em seis ou mais "XS".
- lecture_status_dir - O diretório no qual sudo armazena os arquivos de estado de leitura, em uma base por-usuário. Uma vez que o usuário recebeu a leitura do estado, um arquivo zerado é criado em seu diretório, deste modo sudo não lê esse usuário novamente. O direito não deve ser esvaziado quando o sistema reinicia. O padrão é /var/adm/sudo/lectured (carece de confirmação prática).
- limitprivs - Por padrão, Solaris limita os privilégios para o usuário enquanto constrói um novo conjunto de privilégios para o comando. Isso limita todos os privilégios para o processo em execução. Essa opção é válida somente para o Solaris 10 ou superior.
- mailsub - Assunto do e-mail enviado para o usuário definido em mailto. O caractere de escape -%h- expande para o nome do host da máquina. O padrão é a mensagem - "*** SECURITY information for %h ***".
- maxseq - O número máximo de uma sequencia que será expandida por -%{seq}- em um arquivo de registro de logs de I/O. O valor expandido é exibido em uma base 36, entretanto, o valor registrado na opção deve ser decimal. Valores maiores que 2.176.782.336 (na base 36 é representado por ZZZZZZ) são truncados silenciosamente, esse número é o valor padrão da opção. Uma vez que o número local alcança o fim da sequência, ele reinicia a partir do zero. Os arquivos existentes serão truncados e seus nomes reutilizados. Essa opção é válida a partir de sudo 1.8.7 ou superior.
- noexec - A partir da versão 1.8.1 essa opção não é mais suportada. O caminho para um arquivo noexec deve ser configurado em sudo.conf (5).
- pam_login_service - Em sistemas que usam PAM para autenticar usuários, esse é o nome do serviço usado quando a opção -i é definida. O valor padrão é "sudo". Essa opção foi introduzida a partir da versão 1.8.8.
- pam_service - Em sistemas que usam PAM, o nome do serviço define a política utilizada por PAM. Isso corresponde a uma entrada no pam.conf ou um arquivo separado em /etc/pam.d, o valor padrão é "sudo". Essa opção foi introduzida a partir da versão 1.8.8.
- passprompt - O prompt padrão que o usuário recebe quando solicitado por uma senha; pode ser sobrescrito através da opção -p ou por SUDO_PROMPT (uma variável de ambiemte). Os seguintes escapes são suportados:
- %H - Expande para o nome local do host, incluindo o nome de domínio. O nome da máquina deve ser FQDN ou a opção fqdn estiver ativa.
- %h - Expande para o nome local do host, sem o nome de domíno.
- %p - expande para o nome do usuário (?) cuja senha está sendo perguntada. Respeita as etiquetas rootpw, targetpw e runaspw.
- %U - Expande para o nome de login do usuário que executa o comando.
- %u - Expande para o nome de login do usuário que invocou sudo.
- %% - Dois caracteres (%%) consecutivos colapsa em um único. O valor padrão para essa opção é: "Password:"
- privs - Somente no Solaris 10 ou superior.
- role - A função (role) padrão usada por SELinux quando construindo um novo contexto de segurança para executar o comando. A função padrão pode ser sobrescrita em uma base por-comando em sudoers ou na linha de comando. Essa opção está disponível quando sudo é construído com suporte para SELinux.
- runas_default - Define o usuário padrão para executar os comandos quando a opção -u não é definida. O padrão é root.
- syslog_badpri - Define o nível de alerta em syslod quando a autenticação de usuário falha. O padrão é alerta. As seguintes prioridades são suportadas: alert, crit, debug, emerg, err, info, notice, e warning.
- syslog_goodpri - Define o nível de alerta em syslod quando a autenticação de usuário é bem sucedida. O padrão é notificação. As seguintes prioridades são suportadas: alert, crit, debug, emerg, err, info, notice, e warning.
- sudoers_locale - Define o locale para quando estiver analisando o arquivo sudoers, comandos de logging e envio de e-mail. Mudar o locale afeta como o arquivo sudoers é interpretado. O padrão é "C".
- timestampdir - Define o diretório no qual sudo armazena seus arquivos de estampa de tempo. Esse diretório deve ser esvaziado quando o sistema reinicia. O padrão é /var/run/sudo/ts (normalmente montado em RAM).
- timestampowener - Define o proprietário do diretório onde os estados de leitura, o diretório de estampas de tempo e seus arquivos são armazenados. O padrão é root.
- type - Define o tipo padrão que SELinux utiliza quando estiver construindo um novo contexto de segurança para executar o comando. O tipo padrão pode ser sobrescrito em uma base por-comando em sudoers ou via linha de comando em um terminal usando opções. Essa opção está disponível quando sudo é construído com suporte para SELinux.
Etiquetas com cadeias de caracteres em um contexto booleano:
- env_file - Essa opção define o nome totalmente qualificado de um caminho para um arquivo que contém variáveis utilizada para configurar o ambiente onde um comando será executado. Entradas neste arquivo tem o formato VARIÁVEL=VALOR ou "export VARIÁVEL=VALOR". O parâmetro de VALOR pode ser limitado por aspas simples ou duplas. Essas variáveis são sujeitas a outras definições em sudo como as feitas em env_keep e env_check.
- exempt_group - Usuários deste grupo são isentos de senha e requerimentos de PATH. O nome do grupo não pode incluir um prefixo %. Isso não é utilizado por padrão.
- group_plugin - Uma cadeia de caracteres que contém um grupo de plug-ins com valores opcionais. Essa cadeia deve consistir de um caminho fqdn ou relativo para o diretório em /usr/local/libexec/sudo, seguido por quaisquer argumentos de configuração que esse plug-in requer. Esses argumentos (se houver) devem ser passados para a função que inicializa plug-ins. Se nenhum argumento estiver presente, a cadeia de caracteres deve ser vazia ("").
- lecture - Essa opção controla quando uma mensagem curta será impressa junto ao prompt da senha. Os seguintes valores são aceitos:
- always - Sempre
- never - Nunca
- once - Somente na primeira vez que o usuário executa sudo. Se nenhum valor estiver definido, o valor dessa opção é aplicado.
- lecture-file - Caminho até o arquivo com a mensagem definida pelo usuário. Essa mensagem sobrescreve a mensagem padrão. A mensagem padrão está gravada dentro do executável de sudo (built-in) e não pode ser modificada de outro modo.
- listpw - Essa opção controla quando uma senha será requerida, quando o usuário utiliza a opção -l , os valores são all, always, any (padrão) e never.
- all - Todos as entradas dos usuários sudoers devem possuir a etiqueta NOPASSWD para evitar a entrada da senha.
- always - O usuário sempre deve entrar a senha quando usa a opção "-l".
- any - Pelo menos uma entrada deve ter NOPASSWD para evitar a senha.
- never - O usuário nunca deve entrar a senha para usar a opção "-l".
- logfile - Define o caminho do arquivo de registro de logs de sudo (não é o arquivo de registros de syslog). Configurar um caminho, equivale a ativar o log interno de sudo; negar essa opção desativa o log interno. Por padrão, sudo registra seus logs via syslod.
- mailerflags - Etiquetas que são utilizadas quando invocando o expedidor (mailer). O padrão é a opção -t.
- mailerpath - Define o caminho até o programa utilizado para enviar e-mail de aviso.
- mailfrom - Endereço de e-mail do usuário que envia mensagens de aviso em nome de sudo. O argumento, um nome de e-mail totalmente qualificado como ("usuário@dominio.com") dever ser apresentado entre aspas duplas para escapar da interpretação do caractere arroba ("@") que tem significado especial para sudo. O padrão é o nome do usuário que executa sudo.
- mailto - Define o endereço de e-mail para onde as mensagens de aviso e erro são enviadas. Esse endereço deve ser limitado por aspas duplas para proteger contra interpretações erradas de sudo. O padrão é enviar para root.
- secure_path - Define o caminho usado pelo comando executado por sudo. Se você não confia nas pessoas que estão rodando sudo tenham um ambiente com um PATH sensato (sic), então, você precisa usar esta opção. Outro uso potencial é para o caso do root ter um PATH e usuários regulares outro. Usuários especificados em exempt_group não são afetados por secure_path. Essa opção não é configurada por padrão.
- syslog - Define o nível de log usado. O padrão é auth. Negar essa opção desativa a gravação de registros de logs. As seguintes facilidades são suportadas: authpriv (depende do sistema operacional), auth, daemon, user, local0, local1, local2, local3, local4, local5, local6, e local7.
- verifypw - Essa opção controla quando uma senha será requerida para um usuário que invocou sudo com a opção -v. Os possíveis valores são all (padrão), always, any e never. Negar essa opção é igual a configurar never.
- all - Todas as entradas de usuários no host devem ter a etiqueta NOPASSWD para evitar digitar a senha.
- always - O usuário deve sempre entrar a senha para usar a opção -v.
- any - Pelo menos uma das entradas do usuário em sudoers deve ter a etiqueta NOPASSWD para evitar entrar a senha.
- never - O usuário nunca precisa entrar a senha.
Listas que podem ser usadas em um contexto booleano:
- env_check - Variáveis que serão removidas do ambiente do usuário a menos que possam ser consideradas seguras. Isso é um mecanismo de defesa contra programas mal escritos com vulnerabilidades do tipo printf.
Para todas as variáveis, exceto TZ, seguro significa que o valor da variável não contém caracteres especiais ("%" ou "/"). A variável TZ é insegura se quaisquer das condições a seguir se apresentar.
- Se ela consistir de um caminho totalmente qualificado que não combina com a localização do diretório zoneinfo.
- Se ela tiver uma referência genérica ao diretório de nível superior ( . . ) como um elemento no path.
- Se ela tiver um caractere não-imprimível ou um espaço em branco.
- Se for maior que o valor definido em PATH_MAX.
O argumento pode ser limitado por aspas duplas, uma lista separada por espaços ou um valor único sem aspas. A lista pode ser substituída, adicionada a, apagada de ou desativada pelo uso dos operadores ('= ' , '+=' , '-=' e '!') respectivamente. Independentemente se env_reset está ativo ou não, as variáveis definidas em env_check serão preservadas se elas passarem pela verificação de checagem. O padrão das variáveis constantes na lista é exibido com a opção -V quando sudo é executado por root.
- env_delete - Variáveis de ambiente que devem ser removidas do ambiente do usuário quando env_reset não é ativada. Esse conjunto é dado por uma lista, onde os valores são separados por espaços em branco e limitados por aspas duplas. A lista pode ser substituída, adicionada a, apagada de ou desativada pelo uso dos operadores ('= ' , '+=' , '-=' e '!') respectivamente. O padrão das variáveis constantes na lista é exibido com a opção -V quando sudo é executado por root. Observe que alguns sistemas operacionais removem automaticamente variáveis potencialmente perigosas quando executam um processo com setuid como sudo.
- env_keep - Variáveis de ambiente que serão preservadas no ambiente do usuário quando env_reset não está ativa. Essa opção permite o controle refinado sobre o ambiente de processos executados por sudo. Esse conjunto é dado por uma lista, onde os valores são separados por espaços em branco e limitados por aspas duplas. A lista pode ser substituída, adicionada a, apagada de ou desativada pelo uso dos operadores ('= ' , '+=' , '-=' e '!') respectivamente. O padrão das variáveis constantes na lista é exibido com a opção -V quando sudo é executado por root.
Continua na Parte V...
Página anterior
Páginas do artigo
1.
Sudoers 1.8.12 - Parte IV - Manual
2. Etiquetas
Outros artigos deste autor
Utilizando GMail (Google Mail) em seu cliente de email favorito
PuTTY - Release 0.66 - Parte IV
Configurando o Vivozap HUAWEI EC325 no Linux
Qual distribuibuição GNU/Linux devo utilizar?
Atualizando o kernel do Slackware de forma segura, sem o famoso "kernel panic"
Leitura recomendada
OpenBSD IDS - Solução Snort e BASE
SELinux - Segurança em Servidores GNU/Linux
PFSense com Snort
ClamAV em desktop
5 comandos que ninguém nunca deve executar no Linux
Comentários
Nenhum comentário foi encontrado.