Вопрос о noob о sudo -s [duplicate]
Просто установил минимальный ubuntu 12.04, затем установил xfce4 и xinit из командной строки после первой загрузки. Полностью ванильная установка afaik.
Я замечаю, что sudo кэширует пароль, пока я не выдаю sudo -k, чтобы его очистить.
Это неожиданное поведение в моем сознании. Я запустил xfce4 раньше и не помню кэширование учетных данных, и я не испытал его во многих предыдущих установках ubuntu, которые у меня были на протяжении многих лет.
Является ли это новой функцией Ubuntu? Это что-то, что является результатом минимальной установки? Является ли это добавлением xfce по умолчанию, которое было добавлено недавно?
3 ответа
Он фактически кэширует право поднять, но не ваш пароль, и сделал это довольно долгое время. Тем не менее, он делает это только пятнадцать минут, по умолчанию. Это по дизайну:
Из пятнадцать минут :
Как только пользователь был аутентифицирован, метка времени обновляется, и пользователь может затем использовать sudo без пароль в течение короткого периода времени (5 минут, если не переопределено в sudoers).и как примечание о безопасности от человека sudoers:
Как только пользователь был аутентифицирован, отметка времени обновляется, и пользователь может затем использовать sudo без пароля для короткий промежуток времени (5 минут, если не переопределено в судерах).
sudo проверяет право собственности на свой каталог метки времени (/ var / db / sudo по умолчанию) и игнорирует содержимое каталога, если оно не принадлежит root или если оно доступно для записи пользователь, отличный от root. В системах, которые позволяют пользователям без полномочий root отдать файлы через chown (2), если каталог временной метки находится в каталоге, доступном для записи кем-либо (например, / tmp), пользователь может создать каталог временных марок перед запуском sudo. Однако, поскольку sudo проверяет право собственности и режим каталога и его содержимого, единственный ущерб, который может быть сделан, - это «скрыть» файлы, поместив их в каталог времени. Это вряд ли произойдет, поскольку с момента, когда dir времени будет принадлежать root и недоступен любому другому пользователю, пользователь, размещающий файлы там, не сможет получить их обратно. Чтобы обойти эту проблему, вы можете использовать каталог, который нельзя записывать по всему миру для штампов времени (например, / var / adm / sudo) или создавать / var / db / sudo с соответствующим владельцем (root) и разрешениями (0700) в файлах запуска системы.
Поскольку файлы временной метки живут в файловой системе, они могут пережить сеанс входа пользователя. В результате пользователь может войти в систему, запустить команду с помощью sudo после аутентификации, выхода из системы, войти снова и запустить sudo без проверки подлинности, если время модификации файла штампа времени не превышает 5 минут (или независимо от того, установлен ли тайм-аут в суде). Когда опция tty_tickets включена в sudoers, метка времени имеет определенную степень детализации, но все же может пережить сеанс пользователя. В системах Linux, где используется файловая система devpts, системы Solaris с файловой системой устройств, а также другие системы, которые используют файловую систему devfs, которые монотонно увеличивают количество встроенных устройств inode (таких как Mac OS X), sudo может чтобы определить, когда файл штампа, основанный на tty, устарел и будет игнорировать его. Администраторы не должны полагаться на эту функцию, поскольку она не является общедоступной.и с той же страницы:
Как видно man sudoers , это поведение сохраняется в течение длительного времени.
Он фактически кэширует право поднять, но не ваш пароль, и сделал это довольно долгое время. Тем не менее, он делает это только пятнадцать минут, по умолчанию. Это по дизайну:
Из пятнадцать минут :
Как только пользователь был аутентифицирован, метка времени обновляется, и пользователь может затем использовать sudo без пароль в течение короткого периода времени (5 минут, если не переопределено в sudoers).и как примечание о безопасности от человека sudoers:
Как только пользователь был аутентифицирован, отметка времени обновляется, и пользователь может затем использовать sudo без пароля для короткий промежуток времени (5 минут, если не переопределено в судерах).
sudo проверяет право собственности на свой каталог метки времени (/ var / db / sudo по умолчанию) и игнорирует содержимое каталога, если оно не принадлежит root или если оно доступно для записи пользователь, отличный от root. В системах, которые позволяют пользователям без полномочий root отдать файлы через chown (2), если каталог временной метки находится в каталоге, доступном для записи кем-либо (например, / tmp), пользователь может создать каталог временных марок перед запуском sudo. Однако, поскольку sudo проверяет право собственности и режим каталога и его содержимого, единственный ущерб, который может быть сделан, - это «скрыть» файлы, поместив их в каталог времени. Это вряд ли произойдет, поскольку с момента, когда dir времени будет принадлежать root и недоступен любому другому пользователю, пользователь, размещающий файлы там, не сможет получить их обратно. Чтобы обойти эту проблему, вы можете использовать каталог, который нельзя записывать по всему миру для штампов времени (например, / var / adm / sudo) или создавать / var / db / sudo с соответствующим владельцем (root) и разрешениями (0700) в файлах запуска системы.
Поскольку файлы временной метки живут в файловой системе, они могут пережить сеанс входа пользователя. В результате пользователь может войти в систему, запустить команду с помощью sudo после аутентификации, выхода из системы, войти снова и запустить sudo без проверки подлинности, если время модификации файла штампа времени не превышает 5 минут (или независимо от того, установлен ли тайм-аут в суде). Когда опция tty_tickets включена в sudoers, метка времени имеет определенную степень детализации, но все же может пережить сеанс пользователя. В системах Linux, где используется файловая система devpts, системы Solaris с файловой системой устройств, а также другие системы, которые используют файловую систему devfs, которые монотонно увеличивают количество встроенных устройств inode (таких как Mac OS X), sudo может чтобы определить, когда файл штампа, основанный на tty, устарел и будет игнорировать его. Администраторы не должны полагаться на эту функцию, поскольку она не является общедоступной.и с той же страницы:
Как видно man sudoers , это поведение сохраняется в течение длительного времени.
Он фактически кэширует право поднять, но не ваш пароль, и сделал это довольно долгое время. Тем не менее, он делает это только пятнадцать минут, по умолчанию. Это по дизайну:
Из пятнадцать минут :
Как только пользователь был аутентифицирован, метка времени обновляется, и пользователь может затем использовать sudo без пароль в течение короткого периода времени (5 минут, если не переопределено в sudoers).и как примечание о безопасности от человека sudoers:
Как только пользователь был аутентифицирован, отметка времени обновляется, и пользователь может затем использовать sudo без пароля для короткий промежуток времени (5 минут, если не переопределено в судерах).
sudo проверяет право собственности на свой каталог метки времени (/ var / db / sudo по умолчанию) и игнорирует содержимое каталога, если оно не принадлежит root или если оно доступно для записи пользователь, отличный от root. В системах, которые позволяют пользователям без полномочий root отдать файлы через chown (2), если каталог временной метки находится в каталоге, доступном для записи кем-либо (например, / tmp), пользователь может создать каталог временных марок перед запуском sudo. Однако, поскольку sudo проверяет право собственности и режим каталога и его содержимого, единственный ущерб, который может быть сделан, - это «скрыть» файлы, поместив их в каталог времени. Это вряд ли произойдет, поскольку с момента, когда dir времени будет принадлежать root и недоступен любому другому пользователю, пользователь, размещающий файлы там, не сможет получить их обратно. Чтобы обойти эту проблему, вы можете использовать каталог, который нельзя записывать по всему миру для штампов времени (например, / var / adm / sudo) или создавать / var / db / sudo с соответствующим владельцем (root) и разрешениями (0700) в файлах запуска системы.
Поскольку файлы временной метки живут в файловой системе, они могут пережить сеанс входа пользователя. В результате пользователь может войти в систему, запустить команду с помощью sudo после аутентификации, выхода из системы, войти снова и запустить sudo без проверки подлинности, если время модификации файла штампа времени не превышает 5 минут (или независимо от того, установлен ли тайм-аут в суде). Когда опция tty_tickets включена в sudoers, метка времени имеет определенную степень детализации, но все же может пережить сеанс пользователя. В системах Linux, где используется файловая система devpts, системы Solaris с файловой системой устройств, а также другие системы, которые используют файловую систему devfs, которые монотонно увеличивают количество встроенных устройств inode (таких как Mac OS X), sudo может чтобы определить, когда файл штампа, основанный на tty, устарел и будет игнорировать его. Администраторы не должны полагаться на эту функцию, поскольку она не является общедоступной.и с той же страницы:
Как видно man sudoers , это поведение сохраняется в течение длительного времени.