Użytkownik „Admin” automatycznie ma uprawnienia sudo

17

Dodałem użytkownika o nazwie „admin” do mojego serwera Ubuntu 14.04LTS, używając adduser.

Przyzwyczaiłem się do dodawania użytkownika do /etc/sudoerspliku podczas dodawania nowego użytkownika, który potrzebuje uprawnień sudo, ale tym razem tego nie zrobiłem. Wygląda na to, że użytkownik „admin” nie istniał przed jego utworzeniem, na podstawie danych wyjściowych w powłoce. Dlaczego to działało w ten sposób?

user-management privileges adduser trpt4him
źródło
Zamiast ręcznie edytować plik sudoers, dodaj je do admingrupy.
Kaz Wolfe,

Odpowiedzi:

30

Domyślnie adduserdodaje każdego nowego użytkownika do grupy o tej samej nazwie co użytkownik (grupa jest tworzona, jeśli jeszcze nie istnieje). Jeśli utworzysz użytkownika o nazwie admin, zostanie on dodany do grupy admin.

/etc/sudoers zawiera linię

%admin ALL=(ALL) ALL

co oznacza, że ​​wszyscy członkowie grupy adminmogą korzystać sudo- i dotyczy to również adminużytkownika.

Florian Diesch
źródło
8
Moim zdaniem mieści się to w definicji „błędu” lub „problemu bezpieczeństwa”. Dlaczego powinna istnieć magiczna sekwencja liter, która daje supermoce, jeśli używasz jej jako nazwy użytkownika?
Federico Poloni
1
@FedericoPoloni zgadza się z tobą, chociaż ktoś próbujący to wykorzystać musiałby zadzwonić adduser, co oznaczałoby, że ma już uprawnienia administratora ... Mimo to warto dodać raport o błędzie, jak sądzę
nico
7
@FedericoPoloni Bug, wcale nie. System dodaje użytkowników do własnej grupy o tej samej nazwie. Joewchodzi w grupę o nazwie Joe. adminzdarza się, aby przejść do grupy o nazwie admin. Ale adminjest grupą systemową. Grupa domyślnie może używać sudo. Możesz także określić grupy, aby adminużytkownik nie wchodził do admingrupy. Wreszcie, nazwanie użytkownika jest problemem bezpieczeństwa admin. Miałem ataki SSH typu brute-force przeciwko mnie polegające na tym, że używam nazwy użytkownika admin.
Kaz Wolfe
3
@Whaaaaaat, z jakiegoś powodu widok tej nazwy użytkownika na końcu twoich postów sprawia, że ​​kwestionuję wszystko, co mówisz :)
trpt4him
5
Myślę, że biorąc pod uwagę politykę jednego użytkownika - jednej grupy, oczekiwane zachowanie (przynajmniej dla mnie) polega na ratowaniu z błędem, jeśli nazwa grupy istnieje (podobnie jak w przypadku nazwy użytkownika). Głosuję na błąd lub przynajmniej na nieoczekiwane zachowanie.
Rmano