L’ús de la comanda sudo permet a altres usuaris executar accions o programes amb els privilegis d’un usuari root. És una bona pràctica utilitzar un usuari regular i en el moment de realitzar alguna acció que requereixi d’elevació anteposar la comanda sudo.
Ens demanarà les credencials de l’usuari actual, si l’usuari té capacitat de manejar-se en un context de super-usuari, és a dir pertany al grup sudo o està agregat en el fitxer /etc/sudoers (o través de visudo), d’aquesta manera l’usuari podrà utilitzar sudo i executar les tasques necessàries com si de root es tractés. Seria una cosa similar a l’ús de UAC en Windows.
Com a avantatge ens facilita la vida en l’ús i no haver d’introduir sempre la contrasenya si l’estem usant de manera contínua. Però això té un inconvenient o risc des d’un punt de vista de seguretat i és que compta amb l’anomenat “Període de gràcia”. sudo ens atorga durant un temps limitat (per defecte 5 minuts) els mateixos privilegis dels quals disposa l’usuari root.
Això vol dir que si tornem a utilitzar sudo durant aquest curt període de temps no ens sol·licitarà la contrasenya. En el cas que estiguem treballant en una oficina o on hi hagi més personal, ens aixequem del nostre lloc i deixem el nostre equip a disposició física de qualsevol existeix el risc que algú pugui fer tasques de root amb suo si encara estem dins d’aquest període de gràcia. Pel que és una bona pràctica de seguretat deshabilitar o eliminar aquest període de gràcia de la comanda sudo.
Deshabilitar o reduir el període de gràcia de sudo
Podem aplicar un hardening per a evitar això sent més restrictius. Editem el fitxer /etc/sudoers.
sudo vi /etc/sudoersPer a deshabilitar-ho i que sempre no sol·licita la contrasenya en l’ús de sudo. Agreguem la següent directiva al final del fitxer.
Defaults timestamp_*timeout=0Si no volem deshabilitar-ho del tot però si reduir el seu temps de gràcia, establim en valor numèric el temps en minuts. Per exemple 1 minut.
Defaults timestamp_*timeout=1Sortim i desem el fitxer /etc/sudoers i els canvis s’aplicaran al moment.
Evitar que els usuaris del grup sudo o wheel puguin canviar la contrasenya de root
Els usuaris del grup sudo o wheel, en el cas de sistemes basats en Red Hat Enterprise Linux, CentOS o Fedora, obtenen privilegis de root temporalment. Aquesta autorització inclou la possibilitat de fer el canvi de la contrasenya de l’usuari root. Per a evitar això, podem escriure el següent l’arxiu sudoers.
Sistemes basats en Debian:
%sudo ALL=(*ALL) ALL, !/usr/*bin/*passwd rootSistemes basats en RHEL o CentOS
%wheel ALL=(*ALL) ALL, !/usr/*bin/*passwd rootDesprés d’aquesta operació, l’usuari no pot canviar la contrasenya de root fins i tot si l’usuari pertany als grups sudo o wheel.
Salutacions!
Font: https://www.zonasystem.com/2020/06/el-periodo-de-gracia-de-sudo-y-su-riesgo.html