Debian
將自己添加到 sudo 組是一個壞主意嗎?
我的 Debian 安裝中的組成員
sudo無需輸入密碼即可執行任何操作。這很方便,但似乎是個壞主意。**注意:**我的電腦是普通台式機,不是伺服器或類似的東西。
我應該禁用它還是安全?
解釋可能發生的事情(即可能的攻擊媒介)的獎勵積分。
該
sudo命令由 配置/etc/sudoers。這應該包含如下一行:
%sudo ALL=(ALL) ALL這允許 sudo 組的所有成員允許任意命令(在任何主機上作為任何使用者)。
它要求您輸入自己的密碼,除非該行包含該
NOPASSWD:部分。您需要一些方法來完成諸如安裝新軟體之類的管理任務。兩種主要方法是使用專用的 root 密碼以 root 身份顯式登錄,或者使用允許
sudo這樣做的特權使用者。
NOPASSWD:啟動有時很方便,但對於日常帳戶來說可能很危險,因為即使是腳本也可以在sudo沒有任何回饋的情況下使用。沒有
NOPASSWD:,sudo將要求您輸入自己的密碼。這需要您明確確認該命令,並且對於日常帳戶來說是一個很好的設置。唯一的弱點是,確認被記憶體了一段時間,這可能會被其他人在你做了一些 sudo 操作後訪問你的終端所利用。“正確”的配置取決於你的情況,但我通常設置一個完全沒有 root 密碼的主機。這樣,做根操作的唯一方法就是以普通(個性化!)使用者身份登錄並執行 sudo。
這樣你就有了很多控制權。如果應該允許多人獲得 root 權限,只需將這些權限添加到 sudo 組。之後您可以在日誌文件中看到誰在何時發出了哪個 root 命令。您甚至可以指定允許哪個使用者執行哪個命令等等。