los sudo El comando otorga a un usuario superusuario o poderes de raíz. Sin duda les diste el discurso de «un gran poder conlleva una gran responsabilidad». Aquí se explica cómo verificar si escucharon o no.
El comando sudo
los sudo comando significa «usuario sustituto hacer». Permite que una persona autorizada ejecute un comando como si fuera otro usuario. Puede tomar parámetros de línea de comandos, uno de los cuales es el nombre del usuario con el que desea que se ejecute el comando. La forma más común sudo se utiliza es omitir las opciones de la línea de comandos y utilizar la acción predeterminada. Esto ejecuta efectivamente el comando como usuario raíz.
Usar sudo de esta manera requiere un permiso especial. Solo los privilegiados pueden usar sudo. Cuando instala una distribución moderna de Linux, se le solicita que configure una contraseña de root que puede usar con sudo. El permiso para hacerlo se otorga al usuario normal que crea durante la instalación. Esta es la forma preferida de manejar el acceso a las capacidades del usuario raíz. La forma anterior era crear un usuario raíz e iniciar sesión como ellos para administrar su sistema.
Este era un escenario peligroso. Era fácil olvidarse de cerrar la sesión y volver a iniciarla como su usuario normal, o ser demasiado perezoso para hacerlo, cuando ya no necesitaba los privilegios de root. Cualquier error que haya cometido en la ventana de la terminal como root se ejecutará, sin importar cuán drástico sea. Las cosas que serían bloqueadas por el shell si un usuario normal intentara hacerlas se ejecutarían sin duda cuando root las solicitara. Usar la cuenta raíz en lugar de una cuenta regular también es un riesgo de seguridad.
Usando sudo enfoca la mente. Está entrando en las mismas aguas peligrosas, pero está eligiendo conscientemente hacerlo y, con suerte, teniendo mucho cuidado. Solo invocas tu estado de superusuario cuando necesitas hacer algo que los necesita.
Si abre el acceso de raíz a otros usuarios, querrá saber que están teniendo tanto cuidado con ellos como usted. No desea que ejecuten comandos de manera imprudente o especulativa. La salud y el bienestar de su instalación de Linux dependen de que los usuarios privilegiados se comporten con respeto y responsabilidad.
Aquí hay varias formas de monitorear su uso de raíz.
El archivo auth.log
Algunas distribuciones mantienen un registro de autenticación en un archivo llamado «auth.log». Con el advenimiento y la rápida adopción de systemd, se eliminó la necesidad del archivo «auth.log». los systemd-journal daemon consolida los registros del sistema en un nuevo formato binario y journalctl proporciona una forma de examinar o interrogar los registros.
Si tiene un archivo “auth.log” en su computadora Linux, probablemente estará en el directorio “/var/log/”, aunque en algunas distribuciones el nombre del archivo y la ruta son “/var/log/audit/audit .Iniciar sesión.»
Puede abrir el archivo en less como esto. Recuerde ajustar la ruta y el nombre de archivo para adaptarse a su distribución, y esté preparado en caso de que su Linux ni siquiera cree un archivo de autenticación.
Este comando funcionó en Ubuntu 22.04.
less /var/log/auth.log
Se abre el archivo de registro y puede desplazarse por el archivo o utilizar las funciones de búsqueda integradas en less para buscar «sudo».
Incluso utilizando las funciones de búsqueda de lesspuede llevar algún tiempo localizar el sudo entradas que le interesen.
Digamos que queremos ver a qué llama un usuario mary ha usado sudo por. Podemos buscar en el archivo de registro con grep para las líneas con «sudo» en ellas, y luego canalice la salida a través de grep de nuevo y busque líneas con «mary» en ellas.
Nota la sudo antes de grep y antes del nombre del archivo de registro.
sudo grep sudo /var/log/auth.log | grep "mary"
Esto nos da líneas que tienen «sudo» y «mary» en ellas.
Podemos ver que el usuario mary se le dio sudo privilegios a las 15:25, y a las 15:27 abre el fstab archivo en un editor. Ese es el tipo de actividad que definitivamente justifica una inmersión más profunda, comenzando con una conversación con el usuario.
Usando diarioctl
El método preferido en systmddistribuciones de Linux basadas en Linux es usar el journalctl comando para revisar los registros del sistema.
Si pasamos el nombre de un programa a journalctl buscará en los archivos de registro entradas que contengan referencias a ese programa. Porque sudo es un binario ubicado en “/usr/bin/sudo” podemos pasarlo a journactl. los -e (final del localizador) indica la opción journalctl para abrir el buscapersonas de archivos predeterminado. Por lo general, esto será less. La pantalla se desplaza automáticamente hacia abajo para mostrar las entradas más recientes.
sudo journalctl -e /usr/bin/sudo
Las entradas de registro que presentan sudo se enumeran en menos.
Use la tecla «Flecha derecha» para desplazarse hacia la derecha para ver el comando que se usó con cada una de las invocaciones de sudo. (O estire la ventana de su terminal para que sea más ancha).
Y debido a que la salida se muestra en lesspuede buscar texto como nombres de comandos, nombres de usuarios y marcas de tiempo.
RELACIONADO: Cómo usar journalctl para leer registros del sistema Linux
Uso de la utilidad de registros de GNOME
Los entornos de escritorio gráficos suelen incluir un medio para revisar los registros. Veremos la utilidad de registros de GNOME. Para acceder a la utilidad de registros, presione la tecla «Super» a la izquierda de la «barra espaciadora».
Escriba «registros» en el campo de búsqueda. Aparece el icono «Registros».
Haga clic en el icono para iniciar la aplicación «Registros».
Al hacer clic en las categorías en la barra lateral, se filtrarán los mensajes de registro por tipo de mensaje. Para hacer selecciones más granulares, haga clic en la categoría «Todos» en la barra lateral, luego haga clic en el icono de lupa en la barra de herramientas. Introduzca algún texto de búsqueda. Vamos a buscar «sudo».
La lista de eventos se filtra para mostrar solo aquellos eventos relacionados con el sudo dominio. Un pequeño bloque gris al final de cada línea contiene el número de entradas en esa sesión de eventos. Haga clic en una línea para expandirla.
Hicimos clic en la línea superior para ver los detalles de las 24 entradas en esa sesión.
Con un poco de desplazamiento, podemos ver los mismos eventos que vimos cuando usamos el journalctl dominio. Usuario marysesión de edición inexplicable de la fstab el archivo se encuentra rápidamente. Podríamos haber buscado «mary», pero eso incluiría entradas distintas a su uso de sudo.
No todo el mundo necesita acceso root
Donde hay un requisito genuino y sensato, dar sudo privilegios a otros usuarios puede tener sentido. Del mismo modo, solo tiene sentido verificar el uso (o abuso) de estos poderes, especialmente justo después de que se los hayan otorgado.