Cómo revisar el uso del comando sudo en Linux

fatmawati achmad zaenuri / Shutterstock.com

los sudo El comando otorga a un usuario superusuario o poderes de raíz. Sin duda les diste el discurso de "un gran poder conlleva una gran responsabilidad". Aquí se explica cómo verificar si escucharon o no.

Índice de contenidos
  1. El comando sudo
  2. El archivo auth.log
  3. Usando diarioctl
  4. Uso de la utilidad de registros de GNOME
  5. No todo el mundo necesita acceso root

El comando sudo

los sudo comando significa "usuario sustituto hacer". Permite que una persona autorizada ejecute un comando como si fuera otro usuario. Puede tomar parámetros de línea de comandos, uno de los cuales es el nombre del usuario con el que desea que se ejecute el comando. La forma más común sudo se utiliza es omitir las opciones de la línea de comandos y utilizar la acción predeterminada. Esto ejecuta efectivamente el comando como usuario raíz.

Usar sudo de esta manera requiere un permiso especial. Solo los privilegiados pueden usar sudo. Cuando instala una distribución moderna de Linux, se le solicita que configure una contraseña de root que puede usar con sudo. El permiso para hacerlo se otorga al usuario normal que crea durante la instalación. Esta es la forma preferida de manejar el acceso a las capacidades del usuario root. La forma anterior era crear un usuario raíz e iniciar sesión como ellos para administrar su sistema.

Este era un escenario peligroso. Era fácil olvidarse de cerrar la sesión y volver a iniciarla como su usuario habitual, o ser demasiado perezoso para hacerlo, cuando ya no necesitaba privilegios de raíz. Cualquier error que haya cometido en la ventana de la terminal como root se ejecutará, sin importar cuán drástico sea. Las cosas que serían bloqueadas por el shell si un usuario normal intentara hacerlas se ejecutarían sin duda cuando root las solicitara. Usar la cuenta raíz en lugar de una cuenta regular también es un riesgo de seguridad.

Usando sudo enfoca la mente. Está entrando en las mismas aguas peligrosas, pero está eligiendo conscientemente hacerlo y, con suerte, teniendo mucho cuidado. Solo invocas tu estado de superusuario cuando necesitas hacer algo que los necesita.

Si abre el acceso de raíz a otros usuarios, querrá saber que están teniendo tanto cuidado con ellos como usted. No desea que ejecuten comandos de manera imprudente o especulativa. La salud y el bienestar de su instalación de Linux dependen de que los usuarios privilegiados se comporten con respeto y responsabilidad.

Aquí hay varias formas de monitorear su uso de raíz.

El archivo auth.log

Algunas distribuciones mantienen un registro de autenticación en un archivo llamado "auth.log". Con el advenimiento y la rápida adopción de systemd, se eliminó la necesidad del archivo "auth.log". los systemd-journal daemon consolida los registros del sistema en un nuevo formato binario y journalctl proporciona una forma de examinar o interrogar los registros.

Si tiene un archivo “auth.log” en su computadora Linux, probablemente estará en el directorio “/var/log/”, aunque en algunas distribuciones el nombre del archivo y la ruta son “/var/log/audit/audit .Iniciar sesión. "

Puede abrir el archivo en less como esto. Recuerde ajustar la ruta y el nombre del archivo para adaptarse a su distribución, y esté preparado en caso de que su Linux ni siquiera cree un archivo de autenticación.

Este comando funcionó en Ubuntu 22.04.

less /var/log/auth.log

Mirando el archivo /var/log/auth.log con menos

Se abre el archivo de registro y puede desplazarse por el archivo o utilizar las funciones de búsqueda integradas en less para buscar "sudo".

El contenido del archivo /var/log/auth.log que se muestra en menos

Incluso utilizando las funciones de búsqueda de lesspuede llevar algún tiempo localizar el sudo entradas que le interesen.

Digamos que queremos ver a qué llama un usuario mary ha usado sudo por. Podemos buscar en el archivo de registro con grep para las líneas con "sudo" en ellas, y luego canalice la salida a través de grep de nuevo y busque líneas con "mary" en ellas.

Toma nota de la sudo antes de grep y antes del nombre del archivo de registro.

sudo grep sudo /var/log/auth.log | grep "mary"

Uso de grep para filtrar entradas que mencionan a mary y sudo

Esto nos da líneas que tienen "sudo" y "mary" en ellas.

Podemos ver que el usuario mary se le dio sudo privilegios a las 15:25, y a las 15:27 abre el fstab archivo en un editor. Ese es el tipo de actividad que definitivamente justifica una inmersión más profunda, comenzando con una conversación con el usuario.

Usando diarioctl

El método preferido en systmddistribuciones de Linux basadas en Linux es usar el journalctl comando para revisar los registros del sistema.

Si pasamos el nombre de un programa a journalctl buscará en los archivos de registro entradas que contengan referencias a ese programa. Porque sudo es un binario ubicado en "/ usr / bin / sudo" podemos pasar eso a journactl. los -e (final del localizador) indica la opción journalctl para abrir el buscapersonas de archivos predeterminado. Por lo general, esto será less. La pantalla se desplaza automáticamente hacia abajo para mostrar las entradas más recientes.

sudo journalctl -e /usr/bin/sudo

Usar journalctl para buscar entradas que mencionen sudo

Las entradas de registro que presentan sudo se enumeran en menos.

journalctl mostrando entradas que contienen sudo en el visor de archivos menos

Use la tecla "Flecha derecha" para desplazarse hacia la derecha para ver el comando que se usó con cada una de las invocaciones de sudo. (O estire la ventana de su terminal para que sea más ancha).

Desplazarse hacia los lados para ver los comandos que se usaron con sudo

Y debido a que la salida se muestra en lesspuede buscar texto como nombres de comandos, nombres de usuarios y marcas de tiempo.

RELACIONADO: Cómo usar journalctl para leer registros del sistema Linux

Uso de la utilidad de registros de GNOME

Los entornos de escritorio gráficos suelen incluir un medio para revisar los registros. Veremos la utilidad de registros de GNOME. Para acceder a la utilidad de registros, presione la tecla "Super" a la izquierda de la "barra espaciadora".

Escriba "registros" en el campo de búsqueda. Aparece el icono "Registros".

Haga clic en el icono para iniciar la aplicación "Registros".

La aplicación Registros de GNOME

Al hacer clic en las categorías en la barra lateral, se filtrarán los mensajes de registro por tipo de mensaje. Para hacer selecciones más granulares, haga clic en la categoría "Todos" en la barra lateral, luego haga clic en el icono de lupa en la barra de herramientas. Introduzca algún texto de búsqueda. Vamos a buscar "sudo".

Búsqueda de entradas que contengan sudo en la aplicación Registros de GNOME

La lista de eventos se filtra para mostrar solo aquellos eventos relacionados con el sudo dominio. Un pequeño bloque gris al final de cada línea contiene el número de entradas en esa sesión de eventos. Haga clic en una línea para expandirla.

El bloque gris que contiene el número de entradas en una sesión de sudo

Hicimos clic en la línea superior para ver los detalles de las 24 entradas en esa sesión.

Los detalles de los eventos mostrados en una vista ampliada

Con un poco de desplazamiento, podemos ver los mismos eventos que vimos cuando usamos el journalctl dominio. Usuario marysesión de edición inexplicable de la fstab el archivo se encuentra rápidamente. Podríamos haber buscado "mary", pero eso incluiría entradas distintas a su uso de sudo.

No todo el mundo necesita acceso root

Donde hay un requisito genuino y sensato, dar sudo privilegios a otros usuarios puede tener sentido. Del mismo modo, solo tiene sentido verificar el uso (o abuso) de estos poderes, especialmente justo después de que se los han otorgado.

Descubre más contenido

Subir Change privacy settings