Difference between revisions of "Sudo (Italiano)"

From ArchWiki
Jump to: navigation, search
(Allineamento pagina)
(Allineamento alla pagina internazionale)
Line 31: Line 31:
  
 
== Configurazione ==
 
== Configurazione ==
 
+
Il file di configurazione di sudo è {{Filename|/etc/sudoers}}. '''Questo file non deve mai essere modificato direttamente!'''
Il file di configurazione di sudo è {{Filename|/etc/sudoers}}. '''Questo file non dovrebbe essere modificato direttamente!''' Gli utenti dovrebbero eseguire il comando {{Codeline|visudo}} come root, che apre una copia temporanea del file di configurazione in ''$EDITOR'', e controlla la sintassi della copia temporanea prima di salvare le modifiche in quella reale.
+
 
+
=== Sudoers: il file dei permessi predefinito ===
+
Il proprietario e il gruppo del file sudoers devono essere impostati entrambi 0. Il file dei permessi dovrebbe essere impostato 0440.
+
  chown -c root:root /etc/sudoers
+
  chmod -c 0440 /etc/sudoers
+
  
 
=== Utilizzare visudo ===
 
=== Utilizzare visudo ===
Il file sudoers dovrebbe essere sempre modificato con il comando visudo che blocca il file ed esegue un controllo grammaticale. È imperativo che sudoers sia privo di errori di sintassi poiché sudo non verrà eseguito con un file sudoers sintatticamente incorretto.
+
Il file di configurazione di sudo è {{Filename|/etc/sudoers}}, e dovrebbe essere sempre modificato con il comando {{Codeline|visudo}}, che apre una copia temporanea del file di configurazione in {{Filename|/etc/sudoers}}, e controlla la sintassi prima di salvare le modifiche in quella reale. È imperativo che {{Filename|sudoers}} sia privo di errori di sintassi poiché sudo non verrà altrimenti eseguito.
  
Il pacchetto sudo include un binario di nome {{Codeline|visudo}} che è l'unico modo di modificare il proprio file {{Filename|/etc/sudoers}}.
+
{{Warning|Eventuali errori in {{Filename|/etc/sudoers}} possono rendere sudo inutilizzabile. Editarlo '''sempre''' con {{Codeline|visudo}} per prevenirli.}}
visudo [-c] [-q] [-s] [-V] [-f sudoers]
+
  
Un buon modo di modificare /etc/sudoers è con vim.
+
L'editor predefinito è {{Codeline|vi}}, che sarà utilizzato se non si prefissa il comando con ''EDITOR=<editor>''. Si possono utilizzare altri editor, ad esempio, gedit:
# EDITOR=vim visudo
+
  
L'editor predefinito è ''vi''. Se non si ha dimestichezza con ''vi'', eseguire questo comando:
+
  # EDITOR=gedit visudo
  # export EDITOR=nano
+
  
O per fare in modo che il comando visudo utilizzi il proprio EDITOR favorito, modificare la variabile EDITOR solo per il comando visudo con:
+
Si può modificare in modo permanente l'impostazione a livello di sistema, per esempio {{Codeline|vim}} aggiungendo
  # EDITOR=nano visudo
+
  export EDITOR=vim
 
+
al file {{Filename|~/.bashrc}}. Si noti che questo non avrà effetto sulle shell già in esecuzione.
# visudo
+
In alternativa si può cambiare in modo permanente il tipo di editor da utilizzare aggiungendo quanto segue al file {{filename|/etc/sudoers}}, sostituire {{codeline|vim}} con il vostro editor preferito.  
+
  
 +
O per fare in modo che il comando {{Codeline|visudo}} utilizzi il proprio EDITOR favorito in modo permanente, aggiungendo a {{Filename|/etc/sudoers}} il seguente:
 
  # Defaults specification
 
  # Defaults specification
 
  # Reset environment by default
 
  # Reset environment by default
Line 63: Line 53:
 
  Defaults      editor=/usr/bin/vim, !env_editor
 
  Defaults      editor=/usr/bin/vim, !env_editor
  
{{nota| É necessario comunque lanciare il comando {{codeline|visudo}} sempre da root, anche se si utilizza un differente editor}}
+
Notare che è necessario comunque lanciare il comando {{codeline|visudo}} sempre da root, anche se si utilizza un differente editor.
 
+
Dopo aver salvato il file, {{Codeline|visudo}} eseguirà un doppio controllo alla ricerca di errori di sintassi prima di sovrascrivere il file di default {{Filename|/etc/sudoers}}. Questa funzionalità di sicurezza esiste, perchè sudo diverrebbe inutilizzabile nel caso di errori nel file di configurazione.
+
  
Prima di poter utilizzare il comando "sudo" per concedere privilegi di root all'utente, bisogna aggiungere la seguente riga:
+
Prima che l'utente possa utilizzare il comando "sudo" con privilegi di root, bisogna aggiungerlo alla seguenti righe:
 
  USER_NAME  ALL=(ALL) ALL
 
  USER_NAME  ALL=(ALL) ALL
  
Line 80: Line 68:
 
Un dettagliato file d'esempio {{Filename|sudoers}} è reperibile su [http://www.gratisoft.us/sudo/sample.sudoers qui]. Altrimenti, consultare [http://www.gratisoft.us/sudo/man/sudoers.html sudoers manual] per ulteriori informazioni.
 
Un dettagliato file d'esempio {{Filename|sudoers}} è reperibile su [http://www.gratisoft.us/sudo/sample.sudoers qui]. Altrimenti, consultare [http://www.gratisoft.us/sudo/man/sudoers.html sudoers manual] per ulteriori informazioni.
  
 +
=== Sudoers: il file dei permessi predefinito ===
 +
Il proprietario e il gruppo del file sudoers devono essere impostati entrambi 0. Il file dei permessi dovrebbe essere impostato 0440. Questi permessi sono impostati di default, ma se modificati accidentalmente, dovrebbero essere nuovamente riconfigurati.
 +
  # chown -c root:root /etc/sudoers
 +
  # chmod -c 0440 /etc/sudoers
  
 
=== Password timeout ===
 
=== Password timeout ===
Line 86: Line 78:
 
  Defaults:USER_NAME timestamp_timeout=20
 
  Defaults:USER_NAME timestamp_timeout=20
  
nel cui caso la password dell'utente USER_NAME scade se non usata per 20 minuti.
+
nel cui caso la password dell'utente USER_NAME scade se non usata per 20 minuti. Sono ammessi anche i valori tra 0 e 1.
  
 
{{Tip|Per assicurarsi che sudo richieda sempre la password, impostare il timeout a zero.}}
 
{{Tip|Per assicurarsi che sudo richieda sempre la password, impostare il timeout a zero.}}
  
== Tips and tricks ==
+
== Suggerimenti ==
  
 
=== Abilitare il completamento con TAB per gli utenti sudo ===
 
=== Abilitare il completamento con TAB per gli utenti sudo ===
Line 105: Line 97:
 
la shell non farebbe niente.
 
la shell non farebbe niente.
  
Se si utilizza il completamento programmabile della bash, si devono decommentare le seguenti righe nel file {{filename|/etc/bash_completion}}:
+
Per abilitare il completamento automatico con sudo, aggiungere il seguente al proprio {{Filename|~/.bashrc}}:
 +
complete -cf sudo
  
# user commands see only users
+
In alternativa, si potrebbe anche installare e attivare bash-completion per i comandi come sudo, vedere [[bash#Auto-completion]] per ulteriori informazioni.
complete -u su usermod userdel passwd chage write chfn groups slay w
+
  
# group commands see only groups
+
===Eseguire applicazioni X11 con sudo sudo===
[ -n "$bash205" ] && complete -g groupmod groupdel newgrp 2>/dev/null
+
  
Altrimenti aggiungere la seguente riga al proprio ~/.bashrc (solo se non si è modificato il file bash_completion perché sovrascrive le impostazioni per sudo):
+
Per consentire a sudo di avviare un'applicazione grafica in X11, è necessario aggiungere
 
+
  Defaults env_keep += "HOME"
  complete -cf sudo
+
a visudo.
 
+
In alternativa, si potrebbe anche installare e attivare bash-completion per i comandi come sudo, vedere [[bash#Auto-completion]] per ulteriori informazioni.
+
  
 
===Disabilitare sudo ad ogni terminale===
 
===Disabilitare sudo ad ogni terminale===
Line 137: Line 126:
 
  Defaults !env_reset
 
  Defaults !env_reset
  
Volendo solamente passare le variabili <tt>*_proxy</tt>, aggiungere il seguente:
+
Volendo solamente passare le variabili {{Codeline|*_proxy}}, aggiungere il seguente:
 
  Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"
 
  Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"
  
Line 146: Line 135:
 
in {{Filename|/etc/sudoers}}
 
in {{Filename|/etc/sudoers}}
  
In questo modo si può fare il comando "sudo" al posto di "sudo /sbin/command" o "sudo /usr/sbin/command".
+
Questo permette di dare il comando  
 +
$ sudo command
 +
invece di:
 +
$ sudo /sbin/command
 +
o:
 +
$ sudo /usr/sbin/command
  
 
=== Abilitare alias ===
 
=== Abilitare alias ===
Line 222: Line 216:
 
=== Visualizzare privilegi utente ===
 
=== Visualizzare privilegi utente ===
 
Si possono controllare i privilegi di un utente specifico con il seguente comando:
 
Si possono controllare i privilegi di un utente specifico con il seguente comando:
   sudo -lU askapache
+
   sudo -lU proprionomeutente
  
 
O visualizzare i propri con  
 
O visualizzare i propri con  
 
   sudo -l
 
   sudo -l
 
<pre>
 
<pre>
Matching Defaults entries for askapache on this host:
+
Matching Defaults entries for proprionomeutente on this host:
 
     loglinelen=0, logfile=/var/log/sudo.log, log_year, syslog=auth, mailto=sqpt.webmaster@gmail.com, mail_badpass, mail_no_user, mail_no_perms, env_reset, always_set_home, tty_tickets, lecture=always, pwfeedback, rootpw, set_home
 
     loglinelen=0, logfile=/var/log/sudo.log, log_year, syslog=auth, mailto=sqpt.webmaster@gmail.com, mail_badpass, mail_no_user, mail_no_perms, env_reset, always_set_home, tty_tickets, lecture=always, pwfeedback, rootpw, set_home
  
User askapache may run the following commands on this host:
+
L'utente proprionomeutente può eseguire i seguenti comandi su questo host:
 
     (ALL) ALL,  
 
     (ALL) ALL,  
 
     (ALL) NOPASSWD: /usr/sbin/lsof, /bin/nice, /bin/netstat, /usr/bin/su, /usr/bin/locate, /usr/bin/find, /usr/bin/rsync, /usr/bin/strace,  
 
     (ALL) NOPASSWD: /usr/sbin/lsof, /bin/nice, /bin/netstat, /usr/bin/su, /usr/bin/locate, /usr/bin/find, /usr/bin/rsync, /usr/bin/strace,  
Line 250: Line 244:
  
 
root ALL = (ALL) ALL
 
root ALL = (ALL) ALL
askapache ALL = (ALL) ALL, NOPASSWD: WHEELER, NOPASSWD: PROCESSES, NOPASSWD: ARCHLINUX, NOPASSWD: EDITS
+
proprionomeutente ALL = (ALL) ALL, NOPASSWD: WHEELER, NOPASSWD: PROCESSES, NOPASSWD: ARCHLINUX, NOPASSWD: EDITS
 
   
 
   
 
Defaults !requiretty, !tty_tickets, !umask
 
Defaults !requiretty, !tty_tickets, !umask
 
Defaults visiblepw, path_info, insults, lecture=always
 
Defaults visiblepw, path_info, insults, lecture=always
 
Defaults loglinelen = 0, logfile =/var/log/sudo.log, log_year, log_host, syslog=auth
 
Defaults loglinelen = 0, logfile =/var/log/sudo.log, log_year, log_host, syslog=auth
Defaults mailto=webmaster@askapache.com, mail_badpass, mail_no_user, mail_no_perms
+
Defaults mailto=webmaster@proprionomeutente.com, mail_badpass, mail_no_user, mail_no_perms
 
Defaults passwd_tries = 8, passwd_timeout = 1
 
Defaults passwd_tries = 8, passwd_timeout = 1
 
Defaults env_reset, always_set_home, set_home, set_logname
 
Defaults env_reset, always_set_home, set_home, set_logname
Line 262: Line 256:
 
Defaults passprompt="Sudo invoked by [%u] on [%H] - Cmd run as %U - Password for user %p:"
 
Defaults passprompt="Sudo invoked by [%u] on [%H] - Cmd run as %U - Password for user %p:"
 
</pre>
 
</pre>
 
 
== Vedi anche ==
 
 
* [[Disable root password and gain su sudo with no password]]
 

Revision as of 17:55, 10 September 2011

This template has only maintenance purposes. For linking to local translations please use interlanguage links, see Help:i18n#Interlanguage links.


Local languages: Català – Dansk – English – Español – Esperanto – Hrvatski – Indonesia – Italiano – Lietuviškai – Magyar – Nederlands – Norsk Bokmål – Polski – Português – Slovenský – Česky – Ελληνικά – Български – Русский – Српски – Українська – עברית – العربية – ไทย – 日本語 – 正體中文 – 简体中文 – 한국어


External languages (all articles in these languages should be moved to the external wiki): Deutsch – Français – Română – Suomi – Svenska – Tiếng Việt – Türkçe – فارسی

Sommario help replacing me
Una panoramica sulla popolare utility di uso dei privilegi di root da utente.
Overview
Users and groups sono usati su GNU/Linux per il controllo degli accessi. Il superutente (root) ha il completo accesso al sistema operativo ed alla sua configurazione, ma è destinato esclusivamente ad uso amministrativo. Gli utenti non privilegiati possono usare programmi come su e sudo per operazioni con privilegi di root.

Sudo (su "do") consente all'amministratore di sistema di delegare a certi utenti (o gruppi di utenti) il permesso e potere di eseguire alcuni, o tutti, i comandi in qualità di root, fornendo nel contempo traccia di tutti i comandi e le azioni eseguite.[1]

Logica di base

Sudo è un'alternativa sicura per il comando su tradizionale. Molto spesso l'utente utilizza su (super user) per ottenere i privilegi di root. In generale, si ritiene imprudente eseguire il login come root, "il superutente", per periodi di tempo prolungati. L'utente root gode di controllo completo e assoluto su tutto il sistema, ma a grande rischio! Alcuni semplici errori possono facilmente rendere un sistema inutilizzabile, e tutte le applicazioni in esecuzione con privilegi di root consentiranno un libero accesso all'intera struttura gerarchica del file system.

Sudo invece, concede dei privilegi temporanei per un singolo comando (sia come root che come altro utente), ristabilendo alla fine dell'operazione lo stato di utente normale, senza privilegi di root e rendendo di conseguenza, il sistema nuovamente "in salvo" da azioni e stati a rischio. Sudo fornisce inoltre, come livello sicurezza aggiuntivo, traccia di tutti i comandi eseguiti, come anche di ogni tentativo di accesso fallito.

Installazione

Per installare Sudo:

pacman -S sudo

In maniera predefinita, gli utenti non sono autorizzati a poter utilizzare sudo. Consultare #Configurazione per ulteriori dettagli.

Utilizzo

Con sudo installato e configurato, gli utenti sono idonei a eseguire comandi con Template:Codeline per acquisire privilegi di superutente (o anche altri). Per esempio:

$ sudo pacman -Syu

Consultare sudo manual per maggiori informazioni.

Configurazione

Il file di configurazione di sudo è Template:Filename. Questo file non deve mai essere modificato direttamente!

Utilizzare visudo

Il file di configurazione di sudo è Template:Filename, e dovrebbe essere sempre modificato con il comando Template:Codeline, che apre una copia temporanea del file di configurazione in Template:Filename, e controlla la sintassi prima di salvare le modifiche in quella reale. È imperativo che Template:Filename sia privo di errori di sintassi poiché sudo non verrà altrimenti eseguito.

Warning: Eventuali errori in Template:Filename possono rendere sudo inutilizzabile. Editarlo sempre con Template:Codeline per prevenirli.

L'editor predefinito è Template:Codeline, che sarà utilizzato se non si prefissa il comando con EDITOR=<editor>. Si possono utilizzare altri editor, ad esempio, gedit:

# EDITOR=gedit visudo

Si può modificare in modo permanente l'impostazione a livello di sistema, per esempio Template:Codeline aggiungendo

export EDITOR=vim

al file Template:Filename. Si noti che questo non avrà effetto sulle shell già in esecuzione.

O per fare in modo che il comando Template:Codeline utilizzi il proprio EDITOR favorito in modo permanente, aggiungendo a Template:Filename il seguente:

# Defaults specification
# Reset environment by default
Defaults      env_reset
# Set default EDITOR to vim, and do not allow visudo to use EDITOR/VISUAL.
Defaults      editor=/usr/bin/vim, !env_editor

Notare che è necessario comunque lanciare il comando Template:Codeline sempre da root, anche se si utilizza un differente editor.

Prima che l'utente possa utilizzare il comando "sudo" con privilegi di root, bisogna aggiungerlo alla seguenti righe:

USER_NAME   ALL=(ALL) ALL

Permette all'utente l'accesso sudo solamente dalla macchina locale:

USER_NAME   HOSTNAME=(ALL) ALL

Permette ai membri del gruppo wheel l'accesso sudo senza richiedere la password:

%wheel      ALL=(ALL) NOPASSWD: ALL

dove USER_NAME è il nome utente individuale.

Un dettagliato file d'esempio Template:Filename è reperibile su qui. Altrimenti, consultare sudoers manual per ulteriori informazioni.

Sudoers: il file dei permessi predefinito

Il proprietario e il gruppo del file sudoers devono essere impostati entrambi 0. Il file dei permessi dovrebbe essere impostato 0440. Questi permessi sono impostati di default, ma se modificati accidentalmente, dovrebbero essere nuovamente riconfigurati.

 # chown -c root:root /etc/sudoers
 # chmod -c 0440 /etc/sudoers

Password timeout

Alcuni utenti potrebbero voler modificare il timeout predefinito prima che la password scada. È possibile farlo aggiungendo la riga seguente a Template:Filename (Template:Codeline) per esempio:

Defaults:USER_NAME timestamp_timeout=20

nel cui caso la password dell'utente USER_NAME scade se non usata per 20 minuti. Sono ammessi anche i valori tra 0 e 1.

Tip: Per assicurarsi che sudo richieda sempre la password, impostare il timeout a zero.

Suggerimenti

Abilitare il completamento con TAB per gli utenti sudo

Il completamento con TAB, di default, non funzionerà quando un utente è stato aggiunto inizialmente al file dei sudoers. Ad esempio, normalmente, Marco deve soltanto digitare:

fir<TAB>

e la shell completerà il comando come segue:

firefox

Se, comunque, Marco fosse aggiunto al file dei sudoers e digitasse:

sudo fir<TAB>

la shell non farebbe niente.

Per abilitare il completamento automatico con sudo, aggiungere il seguente al proprio Template:Filename:

complete -cf sudo

In alternativa, si potrebbe anche installare e attivare bash-completion per i comandi come sudo, vedere bash#Auto-completion per ulteriori informazioni.

Eseguire applicazioni X11 con sudo sudo

Per consentire a sudo di avviare un'applicazione grafica in X11, è necessario aggiungere

Defaults env_keep += "HOME"

a visudo.

Disabilitare sudo ad ogni terminale

Attenzione: Questo permetterà a tutti i processi di utilizzare la sessione sudo

Se infastiditi dalle impostazioni di defaults di sudo, che richiedono l'inserimento della password ogni volta che si apre un nuovo terminale, disabilitare tty_tickets:

Defaults !tty_tickets

Variabili d'ambiente

Se ci si ritrova con molte variabili d'ambiente, o si esportano le impostazioni del proxy con export http_proxy="...", quando si usa sudo queste variabili non vengono accettate da root se non si esegue sudo con l'opzione Template:Codeline.

$ sudo -E pacman -Syu

Per questo motivo potrebbe essere utile aggiungere un alias in Template:Filename:

alias sudo="sudo -E"

Un'altra modo analogo è l'aggiunta in Template:Filename di:

Defaults !env_reset

Volendo solamente passare le variabili Template:Codeline, aggiungere il seguente:

Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"

Aggiungere /sbin e /usr/sbin al percorso di root

Se si desidera eseguire comandi amministrativi (quelli in /sbin o /usr/sbin) con sudo senza utilizzare il loro percorso completo, aggiungere:

Defaults secure_path="/bin:/sbin:/usr/bin:/usr/sbin" 

in Template:Filename

Questo permette di dare il comando

$ sudo command

invece di:

$ sudo /sbin/command

o:

$ sudo /usr/sbin/command

Abilitare alias

Se si utilizzano vari alias, si noterà che non vengono accettati da root usando sudo. Tuttavia, vi è un modo semplice per farli funzionare. Basta aggiungere quanto segue a Template:Filename o Template:Filename:

alias sudo='sudo '

Insulti

È possibile configurare sudo per visualizzare degli "insulti intelligenti" quando viene immessa una password errata, al posto dell'output di default "wrong password". Trovare la linea di default in Template:Filename e aggiungere "insults", separandola con una virgola dalle voci esistenti. Il risultato dovrebbe essere simile a questo:

#Defaults specification
Defaults insults

Per fare una prova, scrivere Template:Codeline per terminare la sessione corrente e lasciare che sudo chieda nuovamente la password.

Password di root

Si può istruire sudo a richiedere la password di root invece di quella dell'utente normale aggiungendo "rootpw" alla linea di defaults in Template:Filename:

Defaults timestamp_timeout=0,rootpw

Disabilitare il login root

Attenzione: Arch Linux non è stato sviluppato per funzionare con l'account root disabilitato. Con questo metodo si rischiano possibili ed eventuali problemi.

Con sudo installato e configurato, qualcuno potrebbe voler disabilitare il login di root. Senza root, eventuali malintenzionati dovrebbero prima individuare un nome utente configurato come sudoer, e poi la password dell'utente.

Attenzione: Assicurarsi che l'utente sia correttamente configurato come sudoer prima di disabilitare l'account di root!

L'account può essere bloccato con Template:Codeline:

# passwd -l root

Un comando simile sblocca root.

$ sudo passwd -u root

In alternativa, modificare Template:Filename e sostituire la password di root criptata con "!":

root:!:12345::::::

Per abilitare il login di root di nuovo:

$ sudo passwd root

kdesu

kdesu può essere usato con KDE per lanciare applicazioni grafiche con privilegi di root. In maniera predefinita, è possibile che kdesu provi ad usare su anche se l'account di root è disabilitato. Fortunatamente si può istruire kdesu ad usare sudo invece di su. Creare o modificare il file Template:Filename:

[super-user-command]
super-user-command=sudo

Policykit

Disabilitando l'account root, diventa necessario modificare la configurazione PolicyKit per fare in modo che le autorizzazioni locali agiscano di conseguenza. L'impostazione predefinita è chiedere la password di root, di modo che questo deve essere modificato. Con polkit-1, ciò può essere ottenuto modificando /etc/polkit-1/localauthority.conf.d/50-localauthority.conf così:

AdminIdentities=unix-user:0

è sostituito da qualcosa d'altro, a seconda della configurazione del sistema. Può essere un elenco di utenti e gruppi, per esempio

AdminIdentities=unix-group:wheel

oppure

AdminIdentities=unix-user:me;unixuser:mom;unix-group:wheel

Per ulteriori informazioni, consultare man pklocalauthority

Sudo in modalità debug

Problemi SSH TTY

SSH non assegna una tty per impostazione predefinita quando si esegue un comando remoto. Senza un terminale, sudo non può disabilitare echo quando viene richiesta una password. Si può usare ssh con l'opzione "-tt" per forzarlo a destinare una tty. (usare -tt due volte).

L'opzione di default requiretty consente solo agli utenti di eseguire sudo se hanno una tty

# Disable "ssh hostname sudo <cmd>", because it will show the password in clear. You have to run "ssh -t hostname sudo <cmd>".
#
#Defaults    requiretty

Visualizzare privilegi utente

Si possono controllare i privilegi di un utente specifico con il seguente comando:

 sudo -lU proprionomeutente

O visualizzare i propri con

 sudo -l
Matching Defaults entries for proprionomeutente on this host:
    loglinelen=0, logfile=/var/log/sudo.log, log_year, syslog=auth, mailto=sqpt.webmaster@gmail.com, mail_badpass, mail_no_user, mail_no_perms, env_reset, always_set_home, tty_tickets, lecture=always, pwfeedback, rootpw, set_home

L'utente proprionomeutente può eseguire i seguenti comandi su questo host:
    (ALL) ALL, 
    (ALL) NOPASSWD: /usr/sbin/lsof, /bin/nice, /bin/netstat, /usr/bin/su, /usr/bin/locate, /usr/bin/find, /usr/bin/rsync, /usr/bin/strace, 
    (ALL) /bin/nice, /bin/kill, /usr/bin/nice, /usr/bin/ionice, /usr/bin/top, /usr/bin/kill, /usr/bin/killall, /usr/bin/ps, /usr/bin/pkill, 
    (ALL) /usr/sbin/gparted, /usr/bin/pacman, /usr/bin/powerpill, 
    (ALL) /usr/local/bin/synergyc, /usr/local/bin/synergys, 
    (ALL) /usr/bin/vim, /usr/bin/nano, /usr/bin/cat
    (root) NOPASSWD: /usr/local/bin/synergyc

Esempio di sudoers

Ciò è particolarmente utile a coloro che usano i terminali multiplexer come screen, tmux, o ratpoison, o che usano sudo da scripts e/o cronjobs.


Cmnd_Alias WHEELER = /usr/sbin/lsof, /bin/nice, /bin/ps, /usr/bin/top, /usr/local/bin/nano, /bin/netstat, /usr/bin/locate, /usr/bin/find, /usr/bin/rsync
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/nice, /usr/bin/ionice, /usr/bin/top, /usr/bin/kill, /usr/bin/killall, /usr/bin/ps, /usr/bin/pkill
Cmnd_Alias EDITS = /usr/bin/vim, /usr/bin/nano, /usr/bin/cat, /usr/bin/vi
Cmnd_Alias ARCHLINUX = /usr/sbin/gparted, /usr/bin/pacman, /usr/bin/pacman-color, /usr/bin/powerpill

root ALL = (ALL) ALL
proprionomeutente ALL = (ALL) ALL, NOPASSWD: WHEELER, NOPASSWD: PROCESSES, NOPASSWD: ARCHLINUX, NOPASSWD: EDITS
 
Defaults !requiretty, !tty_tickets, !umask
Defaults visiblepw, path_info, insults, lecture=always
Defaults loglinelen = 0, logfile =/var/log/sudo.log, log_year, log_host, syslog=auth
Defaults mailto=webmaster@proprionomeutente.com, mail_badpass, mail_no_user, mail_no_perms
Defaults passwd_tries = 8, passwd_timeout = 1
Defaults env_reset, always_set_home, set_home, set_logname
Defaults !env_editor, editor="/usr/bin/vim:/usr/bin/vi:/usr/bin/nano"
Defaults timestamp_timeout=360
Defaults passprompt="Sudo invoked by [%u] on [%H] - Cmd run as %U - Password for user %p:"