En aquesta pràctica hem hagut de configurar els privilegis dels usuaris d’un sistema Debian 13. Bàsicament el que hem fet és decidir qui pot fer què dins del sistema, intentant que cada usuari només tingui els permisos que necessita i res més.
Què hem de fer?
| Usuari | Què pot fer |
|---|---|
| edgar | Tot (sudo complet) |
| izan | Tot (sudo complet) |
| miquel | Tot (sudo complet) |
| super | Res |
| major | Només gestionar la xarxa i els serveis |
| root | Desactivar-lo |
Pas 1 — Obrir el fitxer de configuració
Hem mirat que la manera més segura de configurar els privilegis és fer servir la carpeta /etc/sudoers.d/ en lloc de tocar directament el fitxer /etc/sudoers, ja que si ens equivoquem editant el sudoers principal podem deixar el sistema inutilitzable. Per obrir-lo fem servir visudo perquè comprova que no hi hagi errors de sintaxi abans de desar.
visudo -f /etc/sudoers.d/privilegisPas 2 — Escriure la configuració
Un cop dins l’editor (que és el nano) hem escrit això:
# Usuaris amb privilegis totals
edgar ALL=(ALL:ALL) ALL
izan ALL=(ALL:ALL) ALL
miquel ALL=(ALL:ALL) ALL
# Usuari sense cap privilegi (explícit)
super ALL=(ALL:ALL) !ALL
# Usuari amb gestió de xarxa i serveis
major ALL=(root) NOPASSWD: /usr/bin/systemctl, /sbin/ip, /sbin/ifconfig, /usr/sbin/nmcliAquí es pot veure com queda el fitxer obert amb nano:
- Els usuaris edgar, izan i miquel tenen ALL=(ALL:ALL) ALL que vol dir que poden fer qualsevol cosa amb sudo.
- L’usuari super té !ALL que significa que no pot fer absolutament res amb sudo, queda bloquejat.
- L’usuari major només pot fer servir les comandes de xarxa i serveis com systemctl, ip, ifconfig i nmcli, i a més no li demana contrasenya cada vegada gràcies al NOPASSWD.
Pas 3 — Comprovar que el fitxer s’ha guardat bé
Per assegurar-nos que tot ha quedat ben escrit fem un cat per veure el contingut del fitxer:
cat /etc/sudoers.d/privilegisPas 4 — Desactivar el root
El root és l’usuari amb més poder del sistema i si algú aconseguís accedir-hi podria fer qualsevol cosa. Per això el desactivem. Els usuaris que necessitin fer tasques d’administració ja ho poden fer amb sudo.
passwd -l rootDesprés comprovem que realment s’ha desactivat:
passwd -S rootSi apareix una L vol dir Locked, és a dir, bloquejat.
Pas 5 — Comprovar que tot funciona correctament
Per acabar comprovem un per un que tots els usuaris tenen els privilegis correctes:
sudo -l -U edgar
sudo -l -U izan
sudo -l -U miquel
sudo -l -U super
sudo -l -U majorEls resultats són els esperats:
- edgar, izan i miquel → (ALL : ALL) ALL
- super → (ALL : ALL) !ALL
- major → només les comandes de xarxa i serveis