Wie kann ich die Authentifizierung ohne Passwort aktivieren / deaktivieren, wenn ich als Superuser Befehle ausführe?

Auf einem Fedora 19-System, das ich vor einiger Zeit für jemanden eingerichtet habe, ist mir aufgefallen, dass keine Authentifizierung erforderlich ist, wenn Befehle als Superuser ausgeführt werden. Wenn Sie beispielsweise Yum Extender ausführen, die Firewall konfigurieren oder einen Befehl mit sudo im Terminal ausführen, werden Sie nicht aufgefordert, ein Kennwort anzugeben. (Bei grafischen Anwendungen wird der Authentifizierungsdialog für einige Millisekunden angezeigt.) Aus Sicherheitsgründen möchte ich diese automatische (authentifizierungslose) Übernahme von Superuser-Rechten deaktivieren. Ich kann mich nicht erinnern, ob oder wie ich diese Authentifizierung ohne Passwort aktiviert habe. Ich habe es möglicherweise zur Vereinfachung für den Nicht-Profi-Benutzer dieses Computers aktiviert, aber keine "ausgefallenen" Dinge (wie das Bearbeiten von Konfigurationsdateien) getan, um dies zu tun. Ich habe die sudoer-Datei nicht bearbeitet. Ich habe das gerade überprüft. Ich hätte ein "

linux fedora 44taka
quelle

Möglicherweise blöde Frage ... Diese Benutzer mit sudoErlaubnis haben doch Passwörter, oder? Es ist nur so, dass sie sudonicht dazu aufgefordert werden?

Parthian Shot

Es gibt einen Benutzer. Und dieser Benutzer hat ein Passwort. Das Problem ist, dass der Benutzer in den beschriebenen Situationen nicht zur Eingabe eines Kennworts aufgefordert wird. (Für die Anmeldung muss ein Passwort eingegeben werden.)

44taka

Sind sie ein Mitglied der wheelGruppe?

Parthian Shot

Der id - Befehl geben Sie die Gruppenmitgliedschaft eines Benutzers: id [USERNAME].

Cristian Ciupitu

Antworten:

Typ man sudoers. Suchen Sie nach NOPASSWDund timeoutauf der man - Seite nach Hinweisen.

Milli
quelle

Der Benutzer hat höchstwahrscheinlich das NOPASSWD-Tag_Spec in / etc / sudoers festgelegt (wenn dieser Link abbricht , war es nur ein Link zum Ergebnis der Ausführung man 5 sudoersauf einem normalen Linux-System). Sie möchten die Zeilen, die sich auf den NOPASSWD-Status dieses Benutzers beziehen, entfernen oder auskommentieren (indem Sie ein '#' am Anfang der Zeile einfügen).

Wenn keine solche Zeile vorhanden ist, kann es sein, dass der Benutzer eine lächerlich lange Zeitspanne zwischen den Authentifizierungen hat passwd_timeout. Wenn dieser Wert auf 0 gesetzt ist, ist das Zeitlimit unbegrenzt. Andernfalls wird das Zeitlimit in Minuten angegeben und gibt an, wie lange der Benutzer sudonach einer ersten authentifizierten Verwendung weiterarbeiten kann , bevor er sich erneut authentifiziert.

Der Benutzer kann auch in der wheelGruppe sein (wie sich herausgestellt hat).

Parthischer Schuss
quelle

In der Datei / etc / sudoers ist kein Benutzer mit NOPASSWD festgelegt. Eine lange Wartezeit kann nicht der Grund sein, da der Benutzer nicht einmal zum ersten Mal zur Eingabe eines Kennworts aufgefordert wird. Und wie gesagt, es ist nicht nur sudo, das nicht zur Eingabe eines Passworts auffordert. Dieses Problem ist nicht sudo-spezifisch.

44.

Ich gebe zu, dass ich angenommen habe, dass die anderen Anwendungen sudounter der Haube verwendet werden, obwohl sie möglicherweise verwendet werden su... Auf jeden Fall werde ich das überprüfen suund mich bei Ihnen melden.

Parthian Shot

In welchen Gruppen sind sie? Wenn sie ein Mitglied der wheelGruppe sind, könnte dies das Problem sein. (Sie können es herausfinden, indem Sie den groupsBefehl ausführen )

Parthian Shot

Der Benutzer ist in der Radgruppe. Ich habe keine Ahnung, wie das passiert ist. Ich habe den Benutzer aus dieser Gruppe entfernt. Grafische Anwendungen, für die Superuser-Berechtigungen erforderlich sind, werden nun erneut zur Eingabe eines Kennworts aufgefordert. Aber es gibt ein neues Problem mit sudo. Beim Versuch, einen Befehl mit sudo auszuführen, wird die folgende Fehlermeldung angezeigt: "xyz ist nicht in der sudoers-Datei enthalten. Dieser Vorfall wird gemeldet." (xyz ist der Benutzername) Ist es sinnvoll anzunehmen, dass das System von einem Angreifer kompromittiert wurde?

44taka

Klarstellung für meine letzte Frage: Ich frage dies, weil ich nie so weitreichende und dumme Änderungen am System vorgenommen habe und ich bin mir sicher, dass der unerfahrene Benutzer der Maschine dies auch nicht getan hat.

44.