sudo nie prosi o hasło, nawet po wielokrotnym uruchomieniu

8

Nie edytowałem moich sudoerów, ale nie muszę wprowadzać hasła podczas uruchamiania sudow wierszu poleceń. Mogę uruchomić dowolne polecenie sudo bez podawania hasła, po prostu otwierając terminal, nawet po ponownym uruchomieniu systemu, jak mogę to zatrzymać?

uid=1000(ktcool) gid=1000(ktcool) groups=1000(ktcool),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lpadmin),1‌​24(sambashare)
ktcool
źródło
5
Czy twoje konto użytkownika jest zabezpieczone hasłem?
Davidson Chua,
5
Ponadto, jeśli jakiś czas temu wprowadziłeś hasło, buforuje je ono przez pewien czas.
Thomas Ward
W jakich grupach jesteś? Używaj /usr/bin/idi czytaj man sudoers. Nie jesteś rootjeszcze, prawda?
waltinator,
Tak, moje konto użytkownika jest zabezpieczone hasłem. Nawet po kilku restartach problem pozostaje. Czy ktoś z was może mi pomóc w ustaleniu, czy przypadkowo nie edytowałem moich sudoerów?
ktcool
1
Istnieje kilka podobnych pytań w AskUbuntu. Wyszukaj w /etc/sudoersplikach i plikach /etc/sudoers.dwiersze zawierające NOPASSWD . Zostały one prawdopodobnie dodane przez program podczas instalacji. Te linie powinny być winowajcą.

Odpowiedzi:

7

Służy visudodo edycji pliku sudoers i szukania NOPASSWD:- jest to dyrektywa wyłączająca monit o hasło użytkownika (NIGDY nie trzeba wprowadzać hasła użytkownika docelowego, tj. Hasła roota). Po prostu usunięcie tej dyrektywy (w tym dwukropka na końcu) powinno wymagać ponownego wprowadzenia hasła w celu użycia sudo (chyba że ostatnio go użyłeś, to nadal jest buforowany, możesz to wyczyścić sudo -k)

ThiefMaster
źródło
0

W /etc/sudoerspliku grupa administracyjna powinna wyglądać tak, %admin ALL=(ALL) ALLa root to z drugiej strony ALL=(ALL:ALL) ALL. Ponieważ w danych wyjściowych idpolecenia pokazuje, że należysz do wielu grup, takich jak lpadmin, sprawdź, czy którakolwiek z nich ma linię taką samą jak linia root. Zmień te, aby wyglądały tak samo jak admin, zapisz, uruchom ponownie i daj nam znać, jeśli przywrócą normalne parametry.

Sergiy Kolodyazhnyy
źródło
0

Spróbuj sudo --listpokazać nam aktywną konfigurację sudo dla twojego konta:

skath@beast:~$ sudo --list
Matching Defaults entries for skath on beast:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User skath may run the following commands on beast:
    (ALL : ALL) ALL
skath@beast:~$

Sprawdź znaczniki czasu w buforowanych poświadczeniach, może to pomóc zrozumieć, dlaczego nie pojawia się monit:

skath@beast:~$ sudo ls -al /var/lib/sudo/$USER/
total 20
drwx------ 2 root skath 4096 Jan 28 14:27 .
drwx------ 3 root root  4096 Jan 28 13:52 ..
-rw------- 1 root skath   40 Feb  5 16:18 1
-rw------- 1 root skath   40 Jan 28 14:51 2
-rw------- 1 root skath   40 Jan 28 13:56 tty1
skath@beast:~$

Służy sudo --remove-timestampdo usuwania danych z pamięci podręcznej.

Od man sudo:

 -K, --remove-timestamp
             Similar to the -k option, except that it removes the
             user's cached credentials entirely and may not be used
             in conjunction with a command or other option.  This
             option does not require a password.  Not all security
             policies support credential caching.

 -k, --reset-timestamp
             When used without a command, invalidates the user's
             cached credentials.  In other words, the next time sudo
             is run a password will be required.  This option does
             not require a password and was added to allow a user to
             revoke sudo permissions from a .logout file.

             When used in conjunction with a command or an option
             that may require a password, this option will cause sudo
             to ignore the user's cached credentials.  As a result,
             sudo will prompt for a password (if one is required by
             the security policy) and will not update the user's
             cached credentials.

             Not all security policies support credential caching.
Steven K.
źródło
-1

sudo -i jest właściwą drogą, jeśli nie chcesz od czasu do czasu wpisywać hasła podczas modyfikowania systemu (lub innych systemów) i nie chcesz modyfikować żadnych plików systemowych. Nastąpi przełączenie na root używanie sudo hasła użytkownika, gdy zamkniesz konsolę lub wpiszesz exitsię w normalnego użytkownika. ma nadzieję, że to zadziała, pozdrawiam :)

i5fq
źródło
2
Problem polega na tym, że chce wpisać hasło, ale jego system nie wyświetla monitu, zamiast tego przyjmuje i wykonuje polecenia tak, jakby je wpisał.
hmayag