3

Хорошо, вот моя проблема - Пожалуйста, не кричите на меня за то, что я неуверен! :) Это на моей хост-машине. Я единственный, кто использует его, так что это довольно безопасно, но у меня есть очень сложный пароль, который трудно набирать снова и снова. Я использую консоль для перемещения файлов и выполнения произвольных команд LOT, и я переключаю терминалы, поэтому запоминания sudo для консоли недостаточно (И мне все равно приходится вводить свой ужасный пароль хотя бы один раз!) В прошлом я использовал трюк NOPASSWD в sudoers, но я решил быть более безопасным. Есть ли какой-то компромисс, кроме запрета доступа к паролю для определенных приложений? (что все еще может быть небезопасно) Что-то, что остановит вредоносное ПО и удаленный вход в систему от sudo rm -rf /-ing me, но в моих терминалах я могу счастливо печатать? Может быть, я могу получить это для каждого терминала, так что случайные команды не справятся? Я попытался запустить эмуляцию терминала как sudo, но это ставит меня как root.

6 ответов6

8

Попробуйте добавить это к вашим параметрам sudo :

Defaults timestamp_timeout=0, tty_tickets

tty_tickets (по умолчанию включена ) заставит sudo запрашивать пароль, если он не запрашивался ранее в этом конкретном tty (включая эмуляторы терминала ptys), а опция timestamp_timeout=0 заставит его не запрашивать его снова в течение всего сеанса.

Поэтому, когда вы захотите выполнить некоторые административные операции, вы можете открыть терминал, что-то сделать sudo, закрыть его, и вы снова будете в безопасности.

7

Очевидное решение для меня - уменьшить сложность вашего пароля. Кажется, вы счастливы, что у вас нет пароля, а не длинного и сложного, так почему бы не взглянуть на этот средний план как на правильный вариант?

Если ваша машина подключена к сети, существует риск компрометации. Без пароля вы открываете себя для оппортунистической эксплуатации, поэтому даже простой пароль обеспечивает дополнительную безопасность.

4

Наиболее безопасная альтернатива не используя пароль, чтобы использовать альтернативный метод аутентификации с помощью PAM. Вы можете, например, использовать устройство чтения смарт-карт. Вы просто вставите карту перед использованием «sudo» и удалите ее, когда закончите. Существует даже модуль PAM для голосовой аутентификации. Если вы не можете найти модуль PAM, который вам нравится, и вам не нравится C, существуют привязки Python.

Проверьте этот список модулей PAM.

1

Установите rootpw в вашем /etc/sudoers:

 Defaults        rootpw

Дайте root более простой пароль, чем ваш.

Не забудьте запретить root на ssh , если вы установили ssh сервер.

Если ваш ужасный пароль предназначен для защиты ваших файлов, то они действительно защищены только в том случае, если они зашифрованы, в противном случае это всего лишь "театр безопасности". Предполагая, что именно поэтому вы хотите сохранить большой, вы будете в безопасности: взлома пароля root -прежнему будет недостаточно для расшифровки ваших файлов, и любое вредоносное ПО будет жарить наш ЦП, прежде чем угадать пароль.

1

Другой подход к /etc/sudoers и тому подобному будет sudo -i и оставаясь root . Например, если вы используете экран GNU, у вас может быть одно окно как обычного пользователя и второе, где вы sudo -i и остаетесь root.

Если ваш ~/.screenrc выглядит так, screen выдачи автоматически открывает вам две "вкладки" соответственно:

hardstatus alwayslastline "%w"
screen -t normal
screen -t root sudo -i
1

в /etc /sudoers (visudo) добавьте следующую строку:

uberjim ALL = (ALL) NOPASSWD:ALL

затем, войдя в систему (используя свой безопасный пароль), вы можете просто ввести:

sudo /cmd/you/want/to/run

Пароль не требуется :) Веселитесь

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .