Uma sessão do sudo pode ser reutilizada após o logout?

Navegue suas respostas
1

O comando sudo lembra por um tempo que eu digitei minha senha, para que eu não precise digitá-la novamente toda vez. Eu sei que posso excluir essa "sessão" usando sudo -k .

Agora, se eu fiz login via ssh, usei o sudo e fiz o logout sem executar sudo -k . Alguém que ganhou acesso à minha conta antes do tempo limite de reentrada da senha sudo de alguma forma usa o sudo sem digitar uma senha? Eu sei que não funciona quando você simplesmente abre uma nova sessão ssh, presumivelmente porque ela usa um pseudo-terminal diferente, mas pode haver uma maneira diferente.

E, se for possível, o que posso fazer contra isso?

    
por Fritz 24.11.2016 / 10:18

3 respostas

4

Em geral, sim, uma sessão sudo pode ser reutilizada se você sair e outra pessoa fizer o login como você no mesmo terminal. Como você encontrou na documentação , o sudo detecta e rejeita isso algumas vezes, mas nem sempre.

Se alguém entrar como você, então o jogo está praticamente perdido. Eles podem plantar um backdoor na sua conta e, no pior dos casos, para o invasor, furtar sua senha e pegar carona no seu acesso sudo na próxima vez que você usar o sudo. Portanto, a resposta para “o que posso fazer contra isso?” É “nada” e, mais importante, a resposta para “o que devo fazer contra isso?” É “nada”. Não faz qualquer ameaça pior.

    
por 25.11.2016 / 01:50
3

Pelo menos nos sistemas Linux e OS X, os timestamps em cache não sobreviverão ao logout.

A resposta está em man sudoers , não em man sudo , que é por isso que não encontrei no começo:

Since time stamp files live in the file system, they can outlive a user's login session. As a result, a user may be able to login, run a command with sudo after authenticating, logout, login again, and run sudo without authenticating so long as the time stamp file's modification time is within 5 minutes (or whatever the timeout is set to in sudoers). When the tty_tickets option is enabled, the time stamp has per-tty granularity but still may outlive the user's session. On Linux systems where the devpts filesystem is used, Solaris systems with the devices filesystem, as well as other systems that utilize a devfs filesystem that monotonically increase the inode number of devices as they are created (such as Mac OS X), sudoers is able to determine when a tty-based time stamp file is stale and will ignore it. Administrators should not rely on this feature as it is not universally available.

    
por 24.11.2016 / 15:05
0

sudo lembra a senha por sessão de terminal. Se você efetuou logout (porque você efetuou o logout ou a sua sessão foi encerrada por algum motivo), não há problema.

O único problema poderia ser uma sessão screen em que você usou sudo in.

Mas se você tiver medo de algum problema, basta configurar sudo para não armazenar a senha em cache.

    
por 24.11.2016 / 11:21

Tags

Logrotate não excluindo logs mais antigos Dividir um único arquivo em vários arquivos com base em strings correspondentes no Linux