El comando sudo le permite a un administrador configurar un archivo de configuración llamado /etc/sudoers y definir comandos específicos que determinados usuarios pueden ejecutar bajo una identidad supuesta.
El comando sudo es como su en muchos aspectos, pero tiene algunas capacidades adicionales importantes. El administrador puede configurar sudo para permitir que un usuario común ejecute comandos como un usuario diferente (generalmente el superusuario) de forma controlada. En particular, un usuario puede estar restringido a uno o más comandos específicos y no a otros. Otra diferencia importante es que el uso de sudo no requiere acceso a la contraseña del superusuario. La autenticación mediante sudo requiere la propia contraseña del usuario. Digamos, por ejemplo, que sudo se ha configurado para permitirnos ejecutar un programa de copia de seguridad ficticio llamado backup_script, que requiere privilegios de superusuario. Con sudo se haría así:
$ sudo backup_script Password: System Backup Starting...
Después de ingresar el comando, se nos solicita nuestra contraseña (no la del superusuario), y una vez que se completa la autenticación, se ejecuta el comando especificado.
sudo V/s su
Una diferencia importante entre su y sudo es que sudo no inicia un nuevo shell ni carga el entorno de otro usuario. Esto significa que no es necesario citar los comandos de forma diferente a como lo harían sin usar sudo. Tenga en cuenta que este comportamiento se puede anular especificando varias opciones. Tenga en cuenta también que sudo se puede usar para iniciar una sesión de superusuario interactiva (muy parecida a su -) especificando la opción -i. Consulte la página man de sudo para obtener más detalles.
Para ver qué privilegios otorga sudo, use la opción -l para enumerarlos.
$ sudo -l User me may run the following commands on this host: (ALL) ALL
Ejemplos de comandos sudo
1. Para listar el estado actual de sudo para el usuario:
# sudo -l # sudo -U santosh -l (for specific user)
2. Para hacer una lista larga de la salida:
# sudo –U santosh -ll
3. Para eliminar las credenciales almacenadas en caché de los usuarios:
# sudo -k
4. Para obtener una lista de archivos de un directorio ilegible:
# sudo ls /usr/local/protected
5. Para ver los registros del sistema a los que solo pueden acceder root y usuarios del grupo adm:
# sudo -g adm view /var/log/syslog
6. Para apagar una máquina:
# sudo shutdown -r +15 "quick reboot"
7. Para ejecutar el comando en segundo plano:
# sudo -b mount /dev/cdrom /DVD
8. Para ejecutar el comando como otro usuario:
# sudo –u oracle /xyz/abc.sh
9. Para ejecutar el comando dado configurando el grupo principal en el grupo dado:
# sudo –g DBA /xyz/abc.sh
10. Para validar las credenciales de usuario:
# sudo –v ### updates his cached credentials, like if password has been changed.
Pensamiento final
Si tiene permiso, sudo ejecuta el comando como superusuario. Los usuarios autorizados de sudo y los comandos que pueden ejecutar se enumeran en el archivo de configuración de sudo, /etc/sudoers . Si un usuario no autorizado intenta ejecutar un comando, sudo informará a un administrador por correo electrónico. De forma predeterminada, enviará el mensaje a la cuenta raíz. A los usuarios que intentan ejecutar comandos se les solicitan sus contraseñas. Una vez autenticado, sudo establece una marca de tiempo para el usuario. Durante cinco minutos a partir de la marca de tiempo, el usuario puede ejecutar más comandos sin que se le solicite su contraseña. Este período de gracia puede ser anulado por la configuración del archivo /etc/sudoers. Consulte también /etc/sudoers para ver ejemplos de configuración.