É uma má ideia me adicionar ao grupo sudo?

3

Membros do grupo sudo em minha instalação Debian podem executar qualquer coisa sem digitar uma senha. Isto é conveniente, mas parece uma má ideia.

NOTA: Meu computador é uma área de trabalho comum, não um servidor ou algo parecido.

Devo desativar isso ou é seguro?

Pontos de bônus para explicar o que poderia acontecer (isto é, possíveis vetores de ataque).

    
por jcora 27.06.2013 / 19:59

1 resposta

3

O comando sudo é configurado por /etc/sudoers .

Isso deve conter uma linha como:

 %sudo ALL=(ALL) ALL

Isso permite que todos os membros do grupo sudo permitam comandos arbitrários (em qualquer host como qualquer usuário).

Requer que você insira sua própria senha, a menos que a linha inclua a parte NOPASSWD: .

Você precisa de alguma forma para tarefas administrativas, como instalar um novo software. As duas formas principais são logar explicitamente como root com uma senha root dedicada ou usar um usuário privilegiado que tem permissão para usar sudo para fazer isso.

Ter NOPASSWD: active às vezes é conveniente, mas pode ser perigoso para uma conta diária, pois até scripts podem usar sudo sem nenhum feedback para você.

Sem NOPASSWD: , sudo solicitará sua própria senha. Isso requer que você reconheça explicitamente o comando e seja uma boa configuração para uma conta diária. O único ponto fraco é que a confirmação é armazenada em cache por alguns momentos, o que pode ser explorado por outra pessoa que tenha acesso ao seu terminal logo após você ter feito algo sudo.

A configuração "certa" depende um pouco da sua situação, mas eu geralmente configuro um host completamente sem uma senha de root. Desta forma, a única maneira de fazer o root é entrar como um usuário regular (personalizado!) E fazer sudo.

Desta forma, você tem muito controle. Se várias pessoas devem ter permissões de root, basta adicioná-las ao grupo sudo. Depois disso, você pode ver no arquivo de log quem emitiu o comando root em que hora. Você pode até mesmo especificar qual usuário tem permissão para executar o comando e muito mais.

    
por 27.06.2013 / 20:27