"ALL ALL = (ALL) NOPASSWD: ALL" wurde automatisch in meine / etc / sudoers-Datei eingefügt. Ist das eine Sicherheitsverletzung?

9

ALL ALL=(ALL) NOPASSWD:ALLDie Zeile wurde am Ende meiner Datei zweimal automatisch hinzugefügt/etc/sudoers .

  • Mein Linux fragte plötzlich nicht mehr nach einem Passwort, wenn ich einen Sudo-Befehl ausführte. Dies brachte mich dazu, das Problem zu untersuchen.
  • Selbst nach dem Ausführen sudo -kzum Zurücksetzen der Kulanzzeit würde nicht nach meinem Passwort gefragt.
  • Ich fand die Bedeutung dieser Zeile heraus und kommentierte die 2 Zeilen aus, um das Problem zu beheben, und die Dinge waren wieder normal.

    Laut meiner Suche wird die sudoers-Datei jedoch nur manuell bearbeitet, und ich hätte auf keinen Fall ALLEN Benutzern NOPASSWD-Berechtigungen für ALLE Befehle erteilen können. Könnte dies bedeuten, dass ein von mir ausgeführtes Skript die sudoers-Datei geändert hat? Ist das ein Grund zur Sorge?

Betriebssystem: Linux Mint 18.3 Cinnamon

security sudo Neon44
quelle
4
Wer oder was auch immer diese Zeile hinzugefügt hat, sudoersbenötigt dafür Root-Berechtigungen.
Roaima
4
Das gibt sicherlich Anlass zur Sorge. Können Sie die letzte Änderungszeit von / etc / sudoers an ein Ereignis binden (in Protokollen oder Änderungszeiten einiger anderer Dateien)
Stéphane Chazelas
4
Long Shot, aber gibt es sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /rootetwas anderes als / etc / sudoers zurück?
Roaima
@roaima wird das sicher versuchen.
Neon44
1
@roaima Oh warte! grepist auch zurückgekehrt /home/neon/HUAWEI-4g_Dongle/Linux/install. Ich glaube, ich habe das Problem gefunden. Ich hatte das Installationsskript für den HUAWEI 4g-Dongle https://pastebin.com/e37GGKsu ausgeführt . Es ist höchstwahrscheinlich dadurch passiert.
Neon44

Antworten:

9

Nach dem Ausführen dieses Befehls

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

Sie haben darauf hingewiesen, dass mehrere Dateien übereinstimmen:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

Es ist vernünftigerweise zu erwarten, dass die ersten drei dieser Dateien eine Übereinstimmung enthalten, und sie können ignoriert werden. Der vierte scheint ein möglicher Schuldiger zu sein und muss weiter untersucht werden.

In der Tat zeigt Ihr Pastebin diese Schnipsel:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

Ja, ich würde sagen, das ist eine (schreckliche) Sicherheitslücke durch ziemlich miesen Qualitätscode.

Nachdem Sie die Zeilen aus Ihrer /etc/sudoersDatei entfernt (oder auskommentiert) haben , würde ich Ihnen auch empfehlen, die Berechtigungen für diese Datei zu überprüfen. Sie sollten ug=r,o=( 0440= r--r-----) sein, wahrscheinlich im Besitz von root: root.

Roaima
quelle
Die Dateiberechtigungen wurden überprüft 0440. Es scheint, als wäre es ein wirklich schlechtes Installationsskript, das mit dem Dongle geliefert wurde. Vielen Dank !
Neon44
Wow, gute Idee für grep 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
Wochenende