Почему sudoers опция NOPASSWD не работает?
Это может быть сложной задачей, чтобы перенести приложение на верх. Вместо этого вы можете установить Unity в свою систему. Вот как:
Установите Unity, выполнив это в терминале:sudo apt install unity
Выполнено. Теперь вы можете увидеть, что Unity установлен, и вы также получили приложение запуска в левом верхнем углу экрана.
2 ответа
Просто натолкнулся на это.
Моей ситуацией является создание удаленной системы, которая будет работать без головы. Я включил полное шифрование диска (в противном случае злоумышленник с физическим доступом может делать все, что он или она хочет) Я хочу, чтобы auth только с ключом pub (я отключу пароль, чтобы схема «иметь что-то, знать что-то» будет паролем protected keypair - автоматический вход, конечно, полностью отключен)
Установщик Ubuntu предлагает пользователю без полномочий root, который добавляется в группу sudo. Затем я вручную добавил себя в файл sudoers, используя sudo visudo:
my_username ALL=(ALL:ALL) NOPASSWD:ALL
ПРИМЕЧАНИЕ. Если вы используете nopasswd на своем ноутбуке, вы всегда должны блокировать свой компьютер, когда вы уходите, или же случайный злоумышленник может пойти на компромисс, пока вы встаете, чтобы положить крем в кофе
Мне все еще пришлось аутентифицировать пароль.
Ответ enzotib - это ключ к тому, что происходит. Группа sudo появляется в sudoers после записи для моего имени пользователя.
Вместо того, чтобы перемещать мою запись ниже строки sudo, я просто удалил строку, которую я ранее добавил, а затем добавил NOPASSWD к записи для [ f6]
Это похоже на работу. Опять же используйте nopasswd, если вам это действительно нужно (в моем случае это именно то, что мне было нужно, для большинства пользователей, которым нужен пароль для активности sudo, лучше)
Дополнительно ПРЕДУПРЕЖДЕНИЕ: Всегда редактируйте sudoers с visudo. (sudo visudo) Кроме того, если другое окно открыто для пользователя root, вы можете восстановить любые ошибки, которые могут возникнуть при изменении файла sudoers.
-
1Никогда не рекомендуется включать NOPASSWD в соответствие с любыми / всеми командами, это означает, что любой, кто попадает в вашу систему и может получить пользователя в группу sudo, сможет сделать ЧТО-НИБУДЬ в вашей системе ОЧЕНЬ быстро. Я могу легко сделать это с помощью всего лишь нескольких минут доступа с помощью LiveCD или обманом вашего пользователя в запуске cmd с именем sudo, который использует ваши собственные разрешения для добавления другого пользователя в группу sudo в дополнение к выполнению вашей запрошенной команды. – dragon788 22 May 2017 в 23:05
-
2Не делайте подобных заявлений. В безголовой системе нежелательно устанавливать пароль для входа вообще (полагаясь только на ключевые пары). Я включил полное шифрование диска, так что удачи с этим live cd. (который, кстати, позволит вам делать всевозможные забавные вещи в незашифрованной системе, независимо от файла sudoers). Также вы не можете писать ни в одном из мест в моей PATH, и я не даю вам оболочку для начала если я не доверяю вам не пытаться подорвать систему. Ваша проблема безопасности не является недействительной, она просто устарела и не является универсальной применимой, как вы подразумеваете. – jorfus 30 May 2017 в 00:06
-
3Для тех, у кого нет глубокого понимания такой безопасности, как вы, эта рекомендация, вероятно, лучше, чем альтернатива, но я согласен, что это не идеально. – dragon788 30 May 2017 в 00:48
-
4@ dragon788 Правда, возможно, мы сможем отредактировать наши ответы, чтобы помочь пользователям всех уровней сделать шаг к лучшей безопасности. Я добавлю предупреждение, чтобы включить полное шифрование диска для предотвращения компрометации, когда злоумышленник имеет физический доступ, и обратите внимание, что если пользователь ноутбука забывает заблокировать свой компьютер публично, sudo nopasswd может привести к быстрому компромиссу. (Хотя я бы предложил установить пятиминутный замок и блокировку экрана, быстрый ключ мог бы привести к повышению безопасности.) – jorfus 3 June 2017 в 21:50
-
5Отличное обновление, мой ответ не содержит каких-либо рекомендаций, отличных от этих комментариев здесь, и по иронии судьбы на работе, где я использую полное шифрование диска. Я закончил использование NOPASSWD, потому что у меня очень безопасный пароль, который становится болью повторно, и я использую xautolock для блокировки моей машины после короткого времени простоя. – dragon788 16 June 2017 в 18:29
В идеале, если вы настраиваете, какие команды могут быть запущены через sudo, вы должны вносить эти изменения в отдельный файл в /etc/sudoers.d/ вместо прямого редактирования файла sudoers. Вы также должны всегда использовать visudo для редактирования файлов.
Пример: sudo visudo -f /etc/sudoers.d/slowcpu
Вставьте разрешение для вашей линии: gatoatigrado ALL=NOPASSWD: /bin/set-slow-cpufreq
] Затем сохраните и выйдите, и visudo предупредит вас, если у вас есть синтаксические ошибки.
Вы можете запустить sudo -l, чтобы просмотреть разрешения, предоставленные вашим пользователем, если какой-либо пользовательский [ f9], перед любой командой %groupyouarein ALL=(ALL) ALL на выходе вам будет предложено ввести пароль.
Если вы обнаружите, что создаете много файлов sudoers.d, возможно, вам захочется создать их с именем per так что их легче визуализировать. Имейте в виду, что упорядочение наименований файлов и правил в файле очень важно, побеждает LAST, независимо от того, является ли он более или менее допустимым, чем предыдущие записи.
Вы можете управлять упорядочение имени файла с использованием префикса 00-99 или aa / bb / cc, но также помните, что если у вас есть ЛЮБЫЕ файлы, которые не имеют числового префикса, они будут загружаться после нумерованных файлов, переопределяя настройки. Это связано с тем, что в зависимости от ваших языковых настроек «лексическая сортировка» оболочка сначала использует сортировки, а затем может чередовать верхний и нижний регистр при сортировке в порядке «возрастания».
Попробуйте запустить printf '%s\n' {{0..99},{A-Z},{a-z}} | sort и printf '%s\n' {{0..99},{A-Z},{a-z}} | LANG=C sort чтобы узнать, будет ли ваш текущий язык печатать AaBbCc и т. д. или ABC, а затем abc, чтобы определить, какой лучший префикс письма «последним» будет использоваться.
-
1Я согласен с этим. Некоторая логика в редактировании файла / etc / sudoers показалась противной интуитивной - я не смог получить% wheel ALL = (ALL) NOPASSWD: ALL, чтобы работать так, как это было написано в sudoers, пока я не прочитал сообщение, в котором кто-то сказал #includedir Строка /etc/sudoers.d должна была быть перед другими строками, такими как% SUDO и% WHEEL. Когда я помещал #include dir выше других прав группы, они начали работать. Итак, я сделал файлы для каждой группы в /etc/sudoers.d/, пронумерованные в том же порядке, что и в файле sudoers, но root ALL = (ALL) ALL должен был оставаться sudoers ниже строки #includedir. Weird. – AveryFreeman 27 November 2017 в 18:41
-
2На самом деле, я думаю, что включенные должны оставаться в конце судеров. Вероятно, вы видели один из других файлов вашего sudoers.d, который уничтожал ваши изменения. Возможно, у вас также была строка внизу вашего основного файла, которая ограничивала группу колес. Имейте в виду, что sudoers обрабатывается там, где последнее правило, применяемое к команде или группе, выигрывает, поэтому более конкретное помогает, но если общая команда ANY приходит в конце и не имеет NOPASSWD, она отменяет ваши предыдущие исключения. Вот почему вы должны иметь свои правила в отдельных файлах, чтобы они обрабатывались позже. – dragon788 27 November 2017 в 19:18
-
3Я так не думаю, это была новая установка арки. Все, что я сделал, это попытаться разоблачить одну линию. Но это определенно хорошая вещь, чтобы проверить, спасибо. – AveryFreeman 27 November 2017 в 19:33
-
4Некоторые системы фактически не используют колесо и вместо этого используют группу под названием sudo или adm или admin. Я не могу вспомнить поведение Arch, но вы можете запустить id и посмотреть, к каким группам вы принадлежите. – dragon788 27 November 2017 в 20:14
-
5