{"id":16,"date":"2023-12-20T20:20:05","date_gmt":"2023-12-20T18:20:05","guid":{"rendered":"https:\/\/xavs.cat\/?p=16"},"modified":"2023-12-20T20:28:30","modified_gmt":"2023-12-20T18:28:30","slug":"el-risc-del-periode-de-gracia-de-sudo-i-evitar-que-els-usuaris-sudo-o-wheel-puguin-canviar-la-contrasenya-de-root","status":"publish","type":"post","link":"https:\/\/xavs.cat\/?p=16","title":{"rendered":"El risc del per\u00edode de gr\u00e0cia de sudo i evitar que els usuaris sudo o\u00a0wheel\u00a0puguin canviar la contrasenya de\u00a0root"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">L&#8217;\u00fas de la comanda <kbd>sudo<\/kbd> permet a altres usuaris executar accions o programes amb els privilegis d&#8217;un usuari\u00a0root. \u00c9s una bona pr\u00e0ctica utilitzar un usuari regular i en el moment de realitzar alguna acci\u00f3 que requereixi d&#8217;elevaci\u00f3 anteposar la comanda <kbd>sudo<\/kbd>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ens demanar\u00e0 les credencials de l&#8217;usuari actual, si l&#8217;usuari t\u00e9 capacitat de manejar-se en un context de\u00a0super-usuari, \u00e9s a dir pertany al grup <kbd>sudo<\/kbd> o est\u00e0 agregat en el fitxer <kbd>\/etc\/sudoers<\/kbd>\u00a0(o trav\u00e9s de\u00a0<kbd>visudo<\/kbd>), d&#8217;aquesta manera l&#8217;usuari podr\u00e0 utilitzar <kbd>sudo<\/kbd> i executar les tasques necess\u00e0ries com si de\u00a0<kbd>root<\/kbd>\u00a0es tract\u00e9s. Seria una cosa similar a l&#8217;\u00fas de\u00a0UAC\u00a0en Windows.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Com a avantatge ens facilita la vida en l&#8217;\u00fas i no haver d&#8217;introduir sempre la contrasenya si l&#8217;estem usant de manera cont\u00ednua. Per\u00f2 aix\u00f2 t\u00e9 un inconvenient o risc des d&#8217;un punt de vista de seguretat i \u00e9s que compta amb l&#8217;anomenat \u00abPer\u00edode de gr\u00e0cia\u00bb. <kbd>sudo<\/kbd> ens atorga durant un temps limitat (per defecte 5 minuts) els mateixos privilegis dels quals disposa l&#8217;usuari <kbd>root<\/kbd>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aix\u00f2 vol dir que si tornem a utilitzar <kbd>sudo<\/kbd> durant aquest curt per\u00edode de temps no ens sol\u00b7licitar\u00e0 la contrasenya. En el cas que estiguem treballant en una oficina o on hi hagi m\u00e9s personal, ens aixequem del nostre lloc i deixem el nostre equip a disposici\u00f3 f\u00edsica de qualsevol existeix el risc que alg\u00fa pugui fer tasques de\u00a0root\u00a0amb suo si encara estem dins d&#8217;aquest per\u00edode de gr\u00e0cia. Pel que \u00e9s una bona pr\u00e0ctica de seguretat deshabilitar o eliminar aquest per\u00edode de gr\u00e0cia de la comanda <kbd>sudo<\/kbd>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Deshabilitar o reduir el per\u00edode de gr\u00e0cia de <kbd>sudo<\/kbd><\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Podem aplicar un\u00a0<kbd>hardening<\/kbd>\u00a0per a evitar aix\u00f2 sent m\u00e9s restrictius. Editem el fitxer <kbd>\/etc\/sudoers<\/kbd>.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><kbd>sudo vi \/etc\/sudoers<\/kbd><\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Per a deshabilitar-ho i que sempre no sol\u00b7licita la contrasenya en l&#8217;\u00fas de <kbd>sudo<\/kbd>. Agreguem la seg\u00fcent directiva al final del fitxer.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>Defaults\u00a0timestamp_*timeout=0<\/code><\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Si no volem deshabilitar-ho del tot per\u00f2 si reduir el seu temps de gr\u00e0cia, establim en valor num\u00e8ric el temps en minuts. Per exemple 1 minut.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>Defaults\u00a0timestamp_*timeout=1<\/code><\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Sortim i desem el fitxer <code><kbd>\/etc\/sudoers<\/kbd><\/code>\u00a0i els canvis s&#8217;aplicaran al moment.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br><strong>Evitar que els usuaris del grup <kbd>sudo<\/kbd> o\u00a0<kbd>wheel<\/kbd>\u00a0puguin canviar la contrasenya de\u00a0root<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Els usuaris del grup <kbd>sudo<\/kbd> o\u00a0<kbd>wheel<\/kbd>, en el cas de sistemes basats en Red\u00a0Hat\u00a0Enterprise\u00a0Linux,\u00a0CentOS\u00a0o\u00a0Fedora, obtenen privilegis de\u00a0<kbd>root<\/kbd>\u00a0temporalment. Aquesta autoritzaci\u00f3 inclou la possibilitat de fer el canvi de la contrasenya de l&#8217;usuari\u00a0<kbd>root<\/kbd>. Per a evitar aix\u00f2, podem escriure el seg\u00fcent l&#8217;arxiu\u00a0sudoers.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sistemes basats en\u00a0Debian:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>%sudo\u00a0ALL=(*ALL)\u00a0ALL, !\/usr\/*bin\/*passwd\u00a0root<\/code><\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Sistemes basats en\u00a0RHEL\u00a0o\u00a0CentOS<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>%wheel\u00a0ALL=(*ALL)\u00a0ALL, !\/usr\/*bin\/*passwd\u00a0root<\/code><\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Despr\u00e9s d&#8217;aquesta operaci\u00f3, l&#8217;usuari no pot canviar la contrasenya de\u00a0root\u00a0fins i tot si l&#8217;usuari pertany als grups <kbd>sudo<\/kbd> o\u00a0<kbd>wheel<\/kbd>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Salutacions!<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Font: https:\/\/www.zonasystem.com\/2020\/06\/el-periodo-de-gracia-de-sudo-y-su-riesgo.html<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;\u00fas de la comanda sudo permet a altres usuaris executar accions o programes amb els privilegis d&#8217;un usuari\u00a0root. \u00c9s una bona pr\u00e0ctica utilitzar un usuari regular i en el moment de realitzar alguna acci\u00f3 que requereixi d&#8217;elevaci\u00f3 anteposar la comanda sudo. Ens demanar\u00e0 les credencials de l&#8217;usuari actual, si l&#8217;usuari t\u00e9 capacitat de manejar-se en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"class_list":["post-16","post","type-post","status-publish","format-standard","hentry","category-linux"],"_links":{"self":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts\/16","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16"}],"version-history":[{"count":7,"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts\/16\/revisions"}],"predecessor-version":[{"id":31,"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts\/16\/revisions\/31"}],"wp:attachment":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}