ไฟล์ Sudoers เปิดใช้งาน NOPASSWD สำหรับผู้ใช้ทุกคำสั่ง

คำนำ

นี่เป็นคำถามที่ค่อนข้างซับซ้อนที่เกี่ยวข้องกับไฟล์ Sudoers และคำสั่ง sudo โดยทั่วไป

หมายเหตุ: ฉันได้ทำการเปลี่ยนแปลงเหล่านี้บนเครื่องเฉพาะที่ใช้ Ubuntu Desktop 13.04 ซึ่งฉันใช้เพื่อวัตถุประสงค์ในการเรียนรู้เท่านั้น ฉันเข้าใจว่าเป็นความเสี่ยงด้านความปลอดภัยขนาดใหญ่ที่จะเปิดใช้งาน sudo NOPASSWD

คำถาม

เริ่มแรกการเปลี่ยนเฉพาะไฟล์ sudoers (/ etc / sudoers) ของฉันคือหนึ่งบรรทัดข้อมูลจำเพาะผู้ใช้ที่ควรเปิดใช้งาน 'nicholsonjf' เพื่อเรียกใช้คำสั่งทั้งหมดด้วย sudo โดยไม่ต้องป้อนรหัสผ่าน (ดูบรรทัดที่ขึ้นต้นด้วย 'nicholsonjf '):

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL
nicholsonjf    ALL=NOPASSWD: ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

อย่างไรก็ตามนี่ใช้งานไม่ได้และฉันก็ยังได้รับรหัสผ่านของฉันทุกครั้งที่ฉันรันคำสั่งในชื่อ 'nicholsonjf' ฉันสามารถเริ่มต้นใช้งานคำสั่ง sudo เป็น 'nicholsonjf' เมื่อฉันลบ 'nicholsonjf' ออกจากกลุ่ม sudo และ admin เท่านั้น

ใครสามารถอธิบายได้ว่าทำไมสิ่งนี้ถึงได้ผล

เป็นเพราะผู้ใช้ 'nicholsonjf' ได้รับสิทธิ์ sudo จากข้อกำหนดกลุ่มสองกลุ่มของ 'admin' และ 'sudo' (ดูด้านล่างในไฟล์ sudoers) ซึ่งมีการแทนที่ข้อมูลจำเพาะของผู้ใช้ 'nicholsonjf' เพราะพวกเขายังอยู่ใน ไฟล์ config หรือไม่

บรรทัดที่คุณเพิ่มถูกเขียนทับ จากman sudoers:

เมื่อมีหลายรายการที่ตรงกับผู้ใช้รายการเหล่านั้นจะถูกนำไปใช้ตามลำดับ ในกรณีที่มีการแข่งขันหลายนัดการแข่งขันครั้งสุดท้ายจะใช้ (ซึ่งไม่จำเป็นต้องตรงกับที่เฉพาะเจาะจงมากที่สุด)

ในกรณีของคุณnicholsonjfเป็นสมาชิกของกลุ่มsudoดังนั้นสำหรับเขาบรรทัดนี้ใช้:

%sudo   ALL=(ALL:ALL) ALL

หากคุณต้องการแทนที่รายการ/etc/sudoersเพียงใส่รายการใหม่หลังจากนั้น

รายการใหม่ควรมีลักษณะเหมือน

myuser ALL=(ALL) NOPASSWD: ALL สำหรับผู้ใช้คนเดียวหรือ

%sudo ALL=(ALL) NOPASSWD: ALL สำหรับกลุ่ม

สำหรับผู้ใช้คนเดียวให้เพิ่มบรรทัดนี้ที่ท้ายsudoersไฟล์โดยใช้sudo visudo

superuser ALL=(ALL) NOPASSWD: ALL

สำหรับกลุ่ม

%supergroup  ALL=(ALL) NOPASSWD: ALL

ไม่ให้ผู้ใช้ปัจจุบันใส่รหัสผ่านเมื่อผู้ใช้sudoนั้นใช้

echo "$USER ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/dont-prompt-$USER-for-password

สิ่งนี้จะสร้างไฟล์ชื่อ/etc/sudoers.d/dont-prompt-<YOUR USERNAME>-for-sudo-passwordและจะหมายความว่าผู้ใช้ที่คุณรันคำสั่งนั้นจะไม่ได้รับพร้อมท์ให้ใส่รหัสผ่านเมื่อดำเนินการsudoคำสั่ง คุณจะยังคงได้รับแจ้งให้ใส่รหัสผ่านในบริบทอื่น ๆ เช่นการติดตั้งเนื้อหาจากแอพกราฟิกของUbuntu Software

ข้อดีของการทำแบบนี้มากกว่าการเพิ่มบรรทัดในechoคำสั่งเพื่อ/etc/sudoersใช้sudo visudo(ตามคำแนะนำของคำตอบอื่น ๆ ) คือ

1. /etc/sudoersบางครั้งมีการแก้ไขโดยการอัปเดตระบบในขณะที่ไฟล์/etc/sudoers.dนั้นไม่ใช่
2. sudo visudoวิธีการมีแนวโน้มที่จะเกิดข้อผิดพลาด (เป็นหลักฐานโดยคำถามนี้มาก) ในขณะที่คัดลอก / วางคำสั่งจะยากมากที่จะเลอะ

ตามsudo cat /etc/sudoers.d/READMEคุณสมบัตินี้ (ของการใส่ไฟล์ sudoer พิเศษใน/etc/sudoers.d) ได้รับการเปิดใช้งานโดยค่าเริ่มต้นตั้งแต่ Debian 1.7.2p1-1 ซึ่งออกมาในปลายปี 1990 (Ubuntu ใช้ Debian )

ตามที่Vinceได้พูดถึงในความคิดเห็นคุณสามารถใช้บรรทัดนี้:

%sudo ALL=NOPASSWD: ALL

(นี่แตกต่างจากบรรทัดที่แสดงในคำตอบเหล่านั้น และมันแก้ปัญหาให้ฉัน)