ผู้ใช้“ ผู้ดูแลระบบ” มีสิทธิ์แบบ sudo โดยอัตโนมัติ


17

ฉันจะเพิ่มผู้ใช้ชื่อ "ผู้ดูแลระบบ" ไปยังเซิร์ฟเวอร์ Ubuntu 14.04LTS adduserของฉันใช้

ฉันเคยต้องเพิ่มผู้ใช้ไปยัง/etc/sudoersไฟล์เมื่อเพิ่มผู้ใช้ใหม่ที่ต้องการสิทธิ์ sudo แต่คราวนี้ฉันไม่ได้ ไม่ปรากฏว่ามีผู้ใช้ 'admin' อยู่ก่อนที่ฉันจะสร้างขึ้นโดยอ้างอิงจากเอาต์พุตในเชลล์ เหตุใดจึงทำงานเช่นนี้


แทนที่จะแก้ไขไฟล์ sudoers ด้วยตนเองให้เพิ่มไปยังadminกลุ่ม
Kaz Wolfe

คำตอบ:


30

โดยค่าเริ่มต้นadduserจะเพิ่มผู้ใช้ใหม่ทุกคนในกลุ่มที่มีชื่อเดียวกันกับผู้ใช้ (กลุ่มจะถูกสร้างขึ้นหากยังไม่มีอยู่) ดังนั้นถ้าคุณสร้างผู้ใช้ที่เรียกว่ามันจะถูกเพิ่มไปยังกลุ่มadminadmin

/etc/sudoers มีบรรทัด

%admin ALL=(ALL) ALL

ซึ่งหมายความว่าสมาชิกทุกคนในกลุ่มadminได้รับอนุญาตให้ใช้sudo- และนั่นก็เป็นจริงสำหรับadminผู้ใช้ของคุณเช่นกัน


8
สิ่งนี้อยู่ภายใต้คำจำกัดความของ "บั๊ก" หรือ "ปัญหาด้านความปลอดภัย" ในมุมมองของฉัน เหตุใดจึงควรมีลำดับวิเศษของจดหมายที่ให้พลังพิเศษแก่คุณหากคุณใช้มันเป็นชื่อผู้ใช้ของคุณ?
Federico Poloni

1
@FedericoPoloni เห็นด้วยกับคุณแม้จะมีคนพยายามที่จะใช้ประโยชน์จากเรื่องนี้จะมีการโทรadduserซึ่งจะหมายความว่าเขาแล้วได้สิทธิ์ผู้ดูแลระบบ ... ยังคงมูลค่าเพิ่มรายงานข้อผิดพลาดที่ผมจะคิดว่า
นิโก้

7
@FedericoPoloni Bug ไม่ได้เลย ระบบจะเพิ่มผู้ใช้ในกลุ่มของตนเองด้วยชื่อเดียวกัน จะเข้าสู่กลุ่มชื่อJoe เกิดขึ้นที่จะเข้าไปในกลุ่มชื่อ แต่เป็นกลุ่มระบบ เป็นกลุ่มโดยค่าเริ่มต้นอนุญาตให้ใช้ sudo นอกจากนี้คุณสามารถระบุกลุ่มได้ดังนั้นผู้ใช้จะไม่เข้าสู่กลุ่ม ในที่สุดก็เป็นปัญหาด้านความปลอดภัยที่จะมีผู้ใช้ชื่อ ฉันเคย SSH แรงเดรัจฉานโจมตีฉันอาศัยโดยใช้ชื่อผู้ใช้ของฉัน Joeadminadminadminadminadminadminadmin
Kaz Wolfe

3
@Whaaaaaat ด้วยเหตุผลบางอย่างการได้เห็นชื่อผู้ใช้ในตอนท้ายของโพสต์ทำให้ฉันถามทุกสิ่งที่คุณพูด :)
trpt4him

5
ฉันคิดว่านโยบายของผู้ใช้หนึ่งคน - กลุ่มหนึ่งพฤติกรรมที่คาดหวัง (อย่างน้อยสำหรับฉัน) คือการประกันตัวด้วยข้อผิดพลาดหากมีชื่อกลุ่มอยู่ (เช่นเดียวกับถ้าชื่อผู้ใช้มีอยู่) ฉันลงคะแนนให้ข้อบกพร่องหรือพฤติกรรมที่ไม่คาดคิดอย่างน้อย
Rmano
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.