Риск безопасности для того, чтобы сделать тайм-аут пароля sudo бесконечным?
Недавно я изменил тайм-аут своего пароля sudo (количество времени, которое проходит до того, как sudo снова запросит ваш пароль). По умолчанию это 15 минут; Я поднял это до часа с sudo visudo и изменяя Defaults env_reset,timestamp_timeout=60. Однако вы можете заставить sudo никогда больше не запрашивать пароль, установив его на -1.
Хотя у меня есть ощущение, что каждый админ под солнцем скажет мне, что это плохая идея, мне интересно, каковы конкретные угрозы безопасности. Если кто-то вошел как я, у него уже нет моего пароля? От какого конкретного сценария меня защитит неограниченный тайм-аут пароля?
В моем окне Ubuntu работает открытый веб-сервер.
1 ответ
sudo тайм-ауты применяются только к текущей сессии оболочки. Попробуйте это:
- Открывают Выполнение терминала
-
sudo ls. Вас попросят Выполнения пароля -
sudo lsснова. Вас не попросят пароля, потому что тайм-аут еще не истек - Открытый другое окно терминала
- Выполнение
sudo lsв новом терминале. Вас попросят Вашего пароля даже при том, что тайм-аут для первой сессии еще не истек.
Ваш самый большой риск долгого sudo тайм-аута состоит в том, если Вы используете sudo и затем идете для кофе, кто-то мог бы снова использовать Ваши sudo возможности, в то время как Вы отсутствуете.