„ALL ALL = (ALL) NOPASSWD: ALL” zostało automatycznie dodane do mojego pliku / etc / sudoers. Czy to naruszenie bezpieczeństwa?

9

ALL ALL=(ALL) NOPASSWD:ALLlinia została automatycznie dodana dwukrotnie na końcu mojego /etc/sudoerspliku.

  • Mój Linux nagle przestał pytać o hasło za każdym razem, gdy uruchamiam polecenie sudo. To skłoniło mnie do zbadania problemu.
  • Nawet po uruchomieniu, sudo -kaby zresetować czas oczekiwania, nie prosi o moje hasło.
  • Zrozumiałem znaczenie tej linii i skomentowałem 2 linie, aby naprawić problem i wszystko wróciło do normy.

    Ale zgodnie z moimi wyszukiwaniami plik sudoers jest edytowany tylko ręcznie i w żaden sposób nie mogłem dać WSZYSTKIM użytkownikom uprawnień NOPASSWD do WSZYSTKICH poleceń. Czy to może oznaczać, że skrypt, który wykonałem, zmienił plik sudoers? Czy to jest powodem do niepokoju?

System operacyjny: Linux Mint 18.3 Cinnamon

security sudo Neon44
źródło
4
Ktokolwiek, lub cokolwiek, dodał tę linię sudoers, aby mieć do tego uprawnienia root.
roaima
4
To z pewnością powód do niepokoju. Czy możesz powiązać czas ostatniej modyfikacji / etc / sudoers z jakimś zdarzeniem (w dziennikach lub czasie modyfikacji niektórych innych plików)
Stéphane Chazelas 16.08.18
4
Długie ujęcie, ale czy sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /rootzwraca coś innego niż / etc / sudoers?
roaima,
@roaima na pewno tego spróbuje.
Neon44
1
@roaima Oh czekaj! greprównież wrócił /home/neon/HUAWEI-4g_Dongle/Linux/install. Myślę, że znalazłem problem. Uruchomiłem skrypt instalacyjny dla klucza HUAWEI 4g https://pastebin.com/e37GGKsu . Najprawdopodobniej stało się to przez to.
Neon44

Odpowiedzi:

9

Po uruchomieniu tego polecenia

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

poradziłeś, aby dopasować kilka plików:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

Można oczekiwać, że pierwsze trzy z tych plików będą zawierać dopasowanie, i można je bezpiecznie zignorować. Czwarty natomiast wydaje się być potencjalnym winowajcą i wymaga dalszych badań.

Rzeczywiście, Twój Pastebin pokazuje te fragmenty:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

Tak, powiedziałbym, że to (straszna) dziura w zabezpieczeniach z dość kiepskiego kodu jakości.

Po usunięciu (lub skomentowaniu) wierszy z /etc/sudoerspliku polecam również sprawdzenie uprawnień do tego pliku. Powinny one być ug=r,o=( 0440= r--r-----), prawdopodobnie własność root: root.

roaima
źródło
Zweryfikowano uprawnienia do pliku 0440. Wygląda na to, że był to naprawdę zły skrypt instalacyjny, który został dołączony do klucza sprzętowego. Wielkie dzięki !
Neon44
Wow, dobry pomysł na grep 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
Weekend