Як увімкнути / вимкнути автентифікацію без пароля під час виконання команд як суперпользователя?

У системі Fedora 19, яку я деякий час створив для когось, я помітив, що автентифікація не потрібна, коли команди виконуються як суперпользователь. Так, наприклад, під час запуску Yum Extender, налаштування брандмауера або виконання якоїсь команди з sudo в терміналі, мене не просять ввести пароль. (З графічними програмами діалогове вікно аутентифікації вискакує на кілька мілісекунд.) Для кращої безпеки я хотів би відключити це автоматичне (без автентифікації) припущення щодо привілеїв суперпользователя. Я не пам'ятаю, чи ввімкнув цю автентифікацію без пароля чи як. Я, можливо, включив це для зручності для непрофесійного користувача цієї машини, але я не робив жодних "фантазійних" речей (наприклад, редагування конфігураційних файлів) для цього. Я не редагував файл sudoer. Я щойно це перевірив. Я, можливо, перевірив "

linux fedora

— 44така
джерело

Можливо , дурне питання ... Ці користувачі з sudoдозволом робити є паролі, НЕ так? Це просто sudoне підкаже для них?

— Парфянський розстріл

Є один користувач. І у цього користувача є пароль. Проблема полягає в тому, що користувачеві не пропонується ввести пароль у описаних нами ситуаціях. (Для входу потрібно ввести пароль.)

— 44така

Вони є членом wheelгрупи?

— Парфянський розстріл

Ідентифікатор команда дасть вам членство в групі користувача: id [USERNAME].

— Крістіан Цюпіту

Відповіді:

Тип man sudoers. Шукайте підказки NOPASSWDі timeoutна сторінці людини.

— мілі
джерело

Користувач, швидше за все, встановив NOPASSWD Tag_Spec у / etc / sudoers (якщо це посилання вмирає, це було лише посиланням на результат роботи man 5 sudoersв звичайній системі Linux). Ви хочете видалити або прокоментувати (поставивши "#" на початку рядка) рядки, що стосуються статусу NOPASSWD цього користувача.

Якщо такої лінії немає, можливо, користувач має смішно тривалий час між аутентифікаціями, в цьому випадку grep for passwd_timeout; якщо це значення встановлено на 0, то час очікування не обмежений, але в іншому випадку час очікування становить хвилини і вказує, як довго користувач може продовжувати користуватися sudoпісля початкового аутентифікованого використання перед повторною автентифікацією.

Користувач також може бути в wheelгрупі (як виявилося).

— Парфянський постріл
джерело

У файлі / etc / sudoers немає користувача з набором NOPASSWD. Тривалий час очікування не може бути причиною, оскільки користувач навіть не вперше запрошує пароль. І, як я вже сказав, не просто судо не вимагає ввести пароль. Ця проблема не характерна для судо.

— 44така

Признаюсь, я припускав, що інші програми використовуються sudoпід кришкою, хоча вони можуть використовуватись su... У будь-якому випадку я перевірю suі повернуся до вас.

— Парфянський розстріл

У яких групах вони є? Якщо вони є учасниками wheelгрупи, це може бути проблемою. (Ви можете дізнатися, запустивши groupsкоманду)

— Парфянський постріл

Користувач входить до групи коліс. Я поняття не маю, як це сталося. Я видалив користувача з цієї групи. Тепер графічні програми, які потребують привілеїв суперпользователя, знову запросять пароль, як це слід зробити. Але є нова проблема із судо. При спробі виконання команди з sudo, я отримую це повідомлення про помилку: "xyz немає у файлі sudoers. Про цей інцидент буде повідомлено." (xyz - це ім'я користувача) Чи розумно вважати, що деякий нападник порушив систему?

— 44така

Пояснення останнього мого запитання: я задаю це питання, тому що я ніколи не робив таких далекосяжних і дурних змін у системі, і я впевнений, що цього не зробив і недосвідчений користувач машини.

— 44така