Zmuś sudo, aby poprosił o hasło raz z zewnętrznych sudoerów

3

Próbuję zhakować własną aplikację na Androida, która otwiera połączenie SSH z moim komputerem i wysyła polecenia.

Dążę do tego, aby interaktywność tego procesu była jak najmniejsza, aby miał on wrażenie pilota.

Dodałem „przełącznik” sudo, który po aktywacji poprosi o hasło sudo, które następnie uruchomi polecenie x do uruchomienia jako, sudo -S -p '' xa następnie hasło zostanie wysłane do STDIN.

Problem polega na tym, że jeśli logowanie się nie powiedzie, polecenie będzie czekać na kolejne 2 próby podania hasła, dodając interaktywność, której nie chcę!

Wiem, że można edytować passwd_triesw sudoerspliku, ale wolałbym wiedzieć, czy istnieje sposób, aby ustawić to jako argument z sudo czy jest to również środowisko zmienną, która może być ustawiona?

Ktoś wie? Czy jest to niedozwolone ze względów bezpieczeństwa?

Sam Gonshaw
źródło
Czy możesz to sprawdzić, a jeśli hasło się nie powiedzie, po prostu zrób kilka szybkich wiadomości typu „spam”, aby wykorzystać kolejne dwie próby hasła? Z pewnością nie jest to bardzo miłe rozwiązanie, ale jest to opcja.
SaintWacko,

Odpowiedzi:

0

Po przejrzeniu man sudoi przejrzeniu sudoerspliku nie widzę żadnego sposobu na osiągnięcie pożądanego zachowania.

Możliwe powody: Ze względów
bezpieczeństwa nie można zwiększyć liczby ponownych prób wprowadzenia hasła. Chociaż można było zmniejszyć liczbę ponownych prób podania hasła, wydaje mi się, że nie było to konieczne.

Możliwe rozwiązanie: przy użyciu opcji -S, ponieważ nie działa natychmiast, jeśli hasło jest nieprawidłowe:

echo <passwd> | sudo -S ls
bbaja42
źródło
Nie całkiem zawiedzie natychmiast, po prostu sudo przyjmuje tę samą <passwd> dla każdej próby. Ale to działa!
Sam Gonshaw,
0

Spróbuj skonfigurować osobne konto użytkownika i skonfiguruj sudoersplik, aby udzielić dostępu bez hasła.

myuser    ALL = NOPASSWD: ALL

Alternatywnie, skonfigurować użytkownika, aby mieć uidz 0którym skutecznie to drugie konto administratora.

Spowoduje to usunięcie dowolnego tajnego hasła z aplikacji na Androida. Naprawdę unikaj przechowywania wspólnych tajemnic, takich jak hasła użytkownika w postaci zwykłego tekstu.

gertvdijk
źródło