Em alguns cenários, é necessário criar regras de SUDO no EPM macOS para permitir execuções específicas que não podem ser contornadas. Essas regras devem ser configuradas com cautela, garantindo que atendam apenas à necessidade identificada, sem abrir brechas de segurança.
Como avaliar a necessidade de uma regra de SUDO
- Analise se o problema pode ser resolvido sem uso de SUDO (ex.: ajustes de permissões ou alternativas de execução).
- Caso não seja possível, determine qual comando precisa de elevação de privilégio.
- Defina se a regra será aplicada a um usuário específico ou a uma segregação (Usuário ou Dispositivo).
- Planeje a remoção da regra após a execução, caso seja uma necessidade pontual.
Como configurar regras de SUDO no EPM
- No Segura®, no Menu de produtos, acesse EPM > Políticas > MacOS > Regras de Sudo.
- Clique em Adicionar para criar uma nova regra.
- Preencha os campos obrigatórios:
- Command: insira o comando exato ou utilize wildcards ou regex quando necessário.
*(wildcard): corresponde a qualquer valor.^regex$: define correspondência exata entre início (^) e fim ($).InfoSobre regex em SUDO: nas regras de SUDO o mecanismo de correspondência usa expressões regulares POSIX (e não PCRE2). Use a sintaxe POSIX ao definir os padrões.
- Segregation: defina se a regra será aplicada a todos os usuários ou apenas a perfis específicos.
- Comments: registre a justificativa da regra para rastreabilidade.
- Command: insira o comando exato ou utilize wildcards ou regex quando necessário.
- Salve a configuração e ative a regra.
Para suporte na criação de expressões, consulte a documentação oficial da Apple sobre regex.