Los usuarios deben confirmar su identidad al ejecutar sudo dando su propia contr asea antes de ejecutar el programa requerido.

Una vez se ha autenticado el usuari o, y si el archivo de configuracin /etc/sudoers permite dar al usuario acceso al comando requerido, el sistema lo ejecuta y lo registra. Si en un inicio y para evitar el constante ingreso del comando sudo en cada coma ndo desde un inicio podemos aplicar los siguiente: sudo su A continuacin pedir el password del usuario que ejecuto el comando y si esta autor izado en el archivo sudoers, se iniciara sesin con el usuario root. El archivo de configuracin /etc/sudoers especifica qu usuarios pueden ejecutar qu c omandos en nombre de qu otros usuarios. Como sudo es muy estricto con el formato de este archivo, y cualquier error podra causar problemas serios, existe la utili dad visudo; sta permite al usuario root editar el archivo y luego revisar su corr eccin antes de guardarlo. Un aspecto muy importante, si se desea editar el ficher o sudoers, por ejemplo para modificar el timeout de sudo, es que bajo ningn conce pto se le deben cambiar los permisos (los permisos que tiene asignados son 0440 y no deben modificarse), puesto que hacerlo inutiliza la utilidad sudo y solamen te podra subsanarse el problema desde un Live-CD. Un ejemplo de consola, donde el usuario no tiene acceso: [fulano@detal ~]$ sudo emacs /etc/sudoers We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: fulano is not in the sudoers file. This incident will be reported. Esperamos que hayas recibido el sermn usual del Administrador de Sistema. Normalmente, se reduce a estas tres cosas: #1) Respeta la privacidad de los dems. #2) Piensa antes de escribir. #3) Un gran poder conlleva una gran responsabilidad. Contrasea: ''fulano no est en el archivo sudoers. Este incidente ser reportado.'' Se muestra a continuacin el registro de este intento fallido, y de uno exitoso po sterior, despus de haber aadido a fulano a /etc/sudoers: [fulano@detal ~]$ sudo tail /var/log/auth.log Aug 5 06:00:28 localhost sudo: fulano : user NOT in sudoers ; TTY=pts/1 ; PW D=/home/fulano ; USER=root ; COMMAND=/usr/bin/emacs /etc/fstab Aug 5 06:01:15 localhost su[15573]: (pam_unix) session opened for user root by fulano(uid=1000) Aug 5 06:02:09 localhost sudo: fulano : TTY=pts/1 ; PWD=/home/fulano ; USER= root ; COMMAND=/usr/bin/emacs /etc/fstab Aug 5 06:02:49 localhost sudo: fulano : TTY=pts/1 ; PWD=/home/fulano ; USER= root ; COMMAND=/usr/bin/tail /var/log/auth.log Los sistemas operativos Ubuntu y Mac OS X fuerzan a hacer todo acceso administra tivo por medio de sudo, pues la contrasea de root est desactivada por defecto; aun que se puede activar con ayuda del programa passwd en Ubuntu, y Utilidad de Dire ctorios en OS X. [editar]Intrprete de comandos sudo no registra los programas que se escriban en un intrprete de comandos. Por e jemplo, si un usuario puede acceder a un intrprete por medio de sudo y ejecuta su do -s, ninguno de los comandos en l escritos ser registrado. Para poder registrar comandos dentro de un intrprete de comandos, sudo debe ser usado junto con otra h

erramienta de seguridad, tal como sudosh, que le dar al usuario un intrprete con r egistro.