Il comando sudo consente a un amministratore di impostare un file di configurazione chiamato /etc/sudoers e definire comandi specifici che determinati utenti possono eseguire sotto una presunta identità.
Il comando sudo è come su in molti modi ma ha alcune importanti funzionalità aggiuntive. L'amministratore può configurare sudo per consentire a un utente normale di eseguire comandi come un utente diverso (di solito il superutente) in modo controllato. In particolare, un utente può essere limitato a uno o più comandi specifici e non ad altri. Un'altra importante differenza è che l'uso di sudo non richiede l'accesso alla password del superutente. L'autenticazione tramite sudo richiede la password dell'utente. Diciamo, ad esempio, che sudo è stato configurato per permetterci di eseguire un programma di backup fittizio chiamato backup_script, che richiede i privilegi di superutente. Con sudo si fa così:
$ sudo backup_script Password: System Backup Starting...
Dopo aver inserito il comando, ci viene richiesta la nostra password (non quella del superutente) e una volta completata l'autenticazione, viene eseguito il comando specificato.
sudo V/s su
Una differenza importante tra su e sudo è che sudo non avvia una nuova shell, né carica l'ambiente di un altro utente. Ciò significa che i comandi non devono essere citati in modo diverso da come sarebbero senza l'uso di sudo. Si noti che questo comportamento può essere ignorato specificando varie opzioni. Nota, inoltre, che sudo può essere utilizzato per avviare una sessione interattiva di superutente (molto simile a su -) specificando l'opzione -i. Vedi la pagina man di sudo per i dettagli.
Per vedere quali privilegi sono concessi da sudo, usa l'opzione -l per elencarli.
$ sudo -l User me may run the following commands on this host: (ALL) ALL
Esempi di comando sudo
1. Per elencare lo stato sudo attuale per l'utente:
# sudo -l # sudo -U santosh -l (for specific user)
2. Per elencare a lungo l'output:
# sudo –U santosh -ll
3. Per rimuovere le credenziali memorizzate nella cache degli utenti:
# sudo -k
4. Per ottenere un elenco di file di una directory illeggibile:
# sudo ls /usr/local/protected
5. Per visualizzare i log di sistema accessibili solo a root e utenti nel gruppo adm:
# sudo -g adm view /var/log/syslog
6. Per spegnere una macchina:
# sudo shutdown -r +15 "quick reboot"
7. Per eseguire il comando in background:
# sudo -b mount /dev/cdrom /DVD
8. Per eseguire il comando come un altro utente:
# sudo –u oracle /xyz/abc.sh
9. Per eseguire il comando dato impostando il gruppo principale sul gruppo indicato:
# sudo –g DBA /xyz/abc.sh
10. Per convalidare le credenziali utente:
# sudo –v ### updates his cached credentials, like if password has been changed.
Pensamento finale
Se sei autorizzato, sudo esegue il comando come superutente. Gli utenti autorizzati di sudo e i comandi che possono eseguire sono elencati nel file di configurazione di sudo, /etc/sudoers . Se un utente non autorizzato tenta di eseguire un comando, sudo informerà un amministratore tramite e-mail. Per impostazione predefinita, invierà il messaggio all'account root. Agli utenti che tentano di eseguire comandi vengono richieste le password. Una volta autenticato, sudo imposta un timestamp per l'utente. Per cinque minuti dal timestamp, l'utente può eseguire ulteriori comandi senza che le venga richiesta la password. Questo periodo di grazia può essere sovrascritto dalle impostazioni nel file /etc/sudoers. Vedi anche /etc/sudoers per esempi di configurazione.