¿Usar sudoedit para agregar usuario a sudo group?

3

De acuerdo con la Preguntas frecuentes sobre OpenBSD # 10 :

Si desea dar acceso a los privilegios de superusuario sin agregar usuarios al grupo de ruedas, use sudo (8).

De acuerdo con la Páginas de manual de OpenBSD en sudo (8) : 

sudoedit  [-AnS] [-a auth_type] [-C fd] [-c class | -]
  [-g group name | #gid] [-p prompt] [-u user name | #uid] file ...
...

 -A
    Normally, if sudo requires a password, it will read it from the 
    user's terminal. If the -A (askpass) option is specified

-A es solicitar la contraseña y no agregar un usuario al grupo del sudoer. Parece que ninguno de -AknS agrega un usuario al grupo.

sudoedit -u <useranme> simplemente imprime la ayuda, y no agrega el usuario al grupo del sudoer.

¿Cómo agregamos un usuario al grupo del sudoer?

Una pregunta relacionada es ¿Cómo puedo agregar un usuario regular al archivo sudoers? . Pero los estados para editar /etc/sudoers directamente, que las páginas man no hacer dime que haga (Además, he aprendido que los BSD son lo suficientemente diferentes de Linux para que no debamos seguir ciegamente los consejos de Linux).

permissions sudo openbsd jww
fuente

Respuestas:

1

-A es pedir contraseña, y no agregar un usuario al grupo del sudoer. Aparece que ninguno de -AknS agrega un usuario al grupo.

¿Cómo agregamos un usuario al grupo sudoers?

Está bien, entonces lo primero es, no hay "sudoers group". (Bueno, no es uno predeterminado / dedicado de todos modos, aunque en realidad es común configurar% wheel o% staff como tal grupo).

Y si los hubiera, lo usarías. usermod en OpenBSD (o gpasswd en Linux) - es solo un grupo regular modificado usando herramientas regulares, no hay nada muy sudo-ish al respecto.

La segunda cosa es, sudoedit no es para modificar grupos, es para editar / etc / sudoers.

Las páginas del manual le dicen que no edite / etc / sudoers directamente . Pero editar / etc / sudoers es exactamente la forma en que le da acceso a sudo a alguien (ya sea un usuario o un grupo%).

La única diferencia es que sudoedit realiza comprobaciones de sintaxis en el archivo editado, para que no bloquee accidentalmente a todos los administradores debido a un error tipográfico, y se asegura de que dos personas no estén editando el mismo archivo sudoers al mismo tiempo. vi /etc/sudoers No tendría tales salvaguardas.

Así que las instrucciones siguen siendo las mismas. correr sudoedit - sólo sudoedit - y agregue su nombre de usuario o grupo elegido al archivo sudoers.

grawity
fuente
"Está bien, entonces lo primero es que no hay" sudoers group " - Eso es algo interesante. Cuando corro diga, sudo gmake install, Recibo un mensaje de que no estoy en el grupo del sudoer. (Y no lo instalé sudo; es parte del sistema base).
jww
OK, entonces me elevé con su - y corrió sudoedit username. El archivo parece estar lleno de tilde ( ~ ). Traté de guardarlo con X-S X-C, pero no parece tener ningún efecto. Así que maté el proceso. Esta es una de esas veces que De Verdad despreciar el software de prueba en múltiples plataformas ...
jww
1
X-S X-C no tiene ningún efecto porque estás viendo vi, no emacs; los tildes son justo lo que vi muestra debajo del final del archivo. Tal vez su $ EDITOR no se transfirió a través de 'su'.
grawity
Oh, gracias grawity. Yo no uso vi; Yo uso Emacs. Ni siquiera sé cómo salir de Vi. Tal vez por eso tuve que matar el proceso ...
jww
1

El archivo /etc/sudoers describe qué usuario puede ejecutar qué usando sudo.

Pero sudoedit es no el comando para editar el /etc/sudoers. sudoedit se utiliza para editar un archivo como otro usuario.

Para editar /etc/sudoers necesitas visudo (8) .

Si está usando OpenBSD-current, podría considerar usar el nuevo doas (1) En lugar de sudo, es más fácil de configurar.

Thomas Weinbrenner
fuente