¿Cómo configurar correctamente el archivo sudoers en Debian Wheezy?

He visto muchas publicaciones de blog que dicen que es suficiente

aptitude install sudo
su root
adduser USERNAME sudo

Pero eso solo protege aptitude, en otras palabras:

• aptitude install sendmaille pedirá una contraseña, debe sudoejecutaraptitude

• apt-get install sendmailno pedirá contraseña, no se sudonecesitan privilegios

• Si edita archivos protegidos, como los archivos etcque contiene no solicitará contraseña, no sudonecesita privilegios

• Puede ejecutar y detener servicios como apache, no solicitará contraseña, no sudonecesita privilegios

¿Cómo arreglar esto? Este es mi archivo sudoers:

 This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:$

# Host alias specification

# User alias specification

# Cmnd alias specification

Esta es la salida de sudo -l:

Matching Defaults entries for root on this host:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User root may run the following commands on this host:
    (ALL : ALL) ALL
    (ALL : ALL) ALL

No ha agregado ninguna regla de sudo, por lo que no puede usar sudo para nada.

El comando adduser USERNAME sudoagrega el usuario especificado al grupo llamado sudo. Debe existir un grupo con ese nombre; crearlo con addgroup sudosi no lo hace. Después de agregar al usuario al grupo, el usuario debe cerrar sesión y volver a iniciarla para que la membresía del grupo surta efecto.

sudoNo es un nombre de grupo especial. Es una convención permitir a los usuarios en el grupo llamado sudoejecutar comandos como root a través de la sudoutilidad. Esto requiere la siguiente línea en el sudoersarchivo:

%sudo ALL = (ALL) ALL

Ejecute visudopara editar el archivo sudoers, nunca lo edite directamente.

No tengo idea de por qué crees que "eso solo protege la aptitud". No hay nada especial en la aptitud. Una vez que haya autorizado a un usuario para ejecutar comandos como root, ese usuario puede ejecutar sudo aptitude …o sudo apt-get …o sudo service …, o sudoediteditar archivos que requieren permiso de root para editar. Estar en el archivo sudoers no cambia directamente los privilegios de su usuario, lo que hace es que le permite sudoejecutar comandos para ejecutar como root. Los comandos se ejecutan como root solo cuando los ejecuta sudo. Algunos programas pueden hacerlo automáticamente, especialmente los programas GUI donde la interfaz de usuario se ejecuta sin privilegios especiales y solo el backend se ejecuta como root, pero los comandos ejecutados como root siempre se ejecutan por sudo.

Lo que pudo haber sucedido es: sudo está almacenando en caché su contraseña. Entonces, después de haber completado correctamente la implementación de sudo en su sistema, debe ingresar la contraseña para el primer comando, y luego se almacena en la memoria caché durante algún tiempo. Si eso sucede y ejecutas la secuencia

sudo aptitude install sendmail
sudo apt-get install sendmail

Luego, deberá proporcionar una contraseña en el primer comando, pero no en el segundo (al menos mientras esté dentro del tiempo de espera). Esto puede parecer que está protegiendo solo el primer comando, pero no el segundo. Sin más información (transcripciones de shell completas), no hay forma de saber ...

Si sigues la respuesta anterior, vas por el camino correcto. Al menos en mi Debian Jessie, hice un enlace suave a / usr / bin del comando en la ruta / sbin. Por ejemplo: / sbin / ifup, pongo un enlace suave (ln -s) a / usr / bin y puedo usarlo.

Otra cosa importante es poner NOPASSWD así:

User_Alias NET = goviedo
Cmnd_Alias ETH = /sbin/ifup
NET ALL = NOPASSWD:ETH