Der Benutzer "Admin" verfügt automatisch über Sudo-Berechtigungen

17

Ich habe meinem Ubuntu 14.04LTS-Server mit einen Benutzer namens "admin" hinzugefügt adduser.

Ich bin es gewohnt, der /etc/sudoersDatei einen Benutzer hinzufügen zu müssen, wenn ich einen neuen Benutzer hinzufüge, der sudo-Berechtigungen benötigt, diesmal jedoch nicht. Es sieht nicht so aus, als ob der Benutzer 'admin' existiert hätte, bevor ich ihn erstellt habe, basierend auf der Ausgabe in der Shell. Warum hat das so funktioniert?

trpt4him
quelle
Anstatt die sudoers-Datei manuell zu bearbeiten, fügen Sie sie der adminGruppe hinzu.
Kaz Wolfe

Antworten:

30

Standardmäßig wird adduserjeder neue Benutzer zu einer Gruppe mit demselben Namen wie der Benutzer hinzugefügt (die Gruppe wird erstellt, falls sie noch nicht vorhanden ist). Wenn Sie also einen Benutzer mit dem Namen erstellen admin, wird dieser der Gruppe hinzugefügt admin.

/etc/sudoers enthält die Zeile

%admin ALL=(ALL) ALL

Dies bedeutet, dass alle Mitglieder der Gruppe verwenden admindürfen sudo- und das gilt auch für Ihren adminBenutzer.

Florian Diesch
quelle
8
Dies fällt in die Definition von "Fehler" oder "Sicherheitsproblem" aus meiner Sicht. Warum sollte es eine magische Buchstabenfolge geben, die Ihnen Superkräfte verleiht, wenn Sie sie als Benutzernamen verwenden?
Federico Poloni
1
@FedericoPoloni stimme dir zu, obwohl jemand, der dies ausnutzen möchte, anrufen addusermüsste, was bedeuten würde, dass er bereits Administratorrechte hat ... Dennoch lohnt es sich, einen Fehlerbericht hinzuzufügen, denke ich
nico
7
@ FedericoPoloni Bug, überhaupt nicht. Das System fügt Benutzer zu ihrer eigenen Gruppe mit demselben Namen hinzu. Joegeht in eine Gruppe mit dem Namen Joe. admingeht zufällig in eine Gruppe mit dem Namen admin. Ist adminaber eine Systemgruppe. Standardmäßig darf die Gruppe sudo verwenden. Sie können auch Gruppen angeben, damit der adminBenutzer nicht in die adminGruppe einsteigt . Schließlich ist es ein Sicherheitsproblem, einen Benutzer mit einem Namen zu haben admin. Ich habe SSH-Brute-Force-Angriffe gegen mich erhalten, bei denen ich den Benutzernamen verwendet habe admin.
Kaz Wolfe
3
@ Whaaaaaat, aus irgendeinem Grund, wenn ich sehe, dass der Benutzername am Ende Ihrer Beiträge alles in Frage stellt, was Sie sagen :)
trpt4him
5
Ich denke, dass angesichts der Richtlinie eines Benutzers - einer Gruppe, das erwartete Verhalten (zumindest für mich) darin besteht, mit einem Fehler auszusteigen, wenn der Gruppenname existiert (wie es der Fall ist, wenn der Benutzername existiert). Ich stimme für den Bug oder zumindest unerwartetes Verhalten.
Rmano,