Rompí Sudo después de una actualización de 9 a 12.04.1

11

Actualmente sudosolicitará una contraseña, pero no pasa absolutamente nada después de eso. No hay errores de ningún tipo.

He revisado el archivo sudoers, pasó la verificación de la sintaxis de visudo, aquí está la configuración:

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

El archivo tiene 0440 como permiso. Yo mismo he añadido a la sudoy el admingrupo.

Esto es lo que parece cuando intento usar Sudo:

kml@rhythmsdev:/etc$ sudo apt-get update
kml@rhythmsdev:/etc$ 

Como puede ver, no hay ningún error en absoluto. Simplemente vuelve a la solicitud.

Aquí están los permisos de archivo

-r--r----- 1 root root 723 Feb 1 10:10 sudoers

sudoers.d

drwxr-xr-x 2 root root 4096 Feb 4 16:46 .

Aquí está la salida de iduno de los Usuarios con los que estoy tratando de hacer que Sudo funcione:

uid=1010(kml) gid=102(develop) groups=102(develop),4(adm),27(sudo),106(admin),110(ftp)

Cómo realicé la actualización.

Realicé la actualización usando do-release-upgrade -dSSH, pero con acceso físico posible a través de un viaje por el pasillo.

Aquí están los contenidos de /etc/sources.list

    #
# deb cdrom:[Ubuntu-Server 10.04 LTS _Lucid Lynx_ - Release i386 (20100427)]/ lucid main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.

deb http://us.archive.ubuntu.com/ubuntu/ precise main restricted
deb-src http://us.archive.ubuntu.com/ubuntu/ precise main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://us.archive.ubuntu.com/ubuntu/ precise-updates main restricted
deb-src http://us.archive.ubuntu.com/ubuntu/ precise-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://us.archive.ubuntu.com/ubuntu/ precise universe
deb-src http://us.archive.ubuntu.com/ubuntu/ precise universe
deb http://us.archive.ubuntu.com/ubuntu/ precise-updates universe
deb-src http://us.archive.ubuntu.com/ubuntu/ precise-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://us.archive.ubuntu.com/ubuntu/ precise multiverse
deb-src http://us.archive.ubuntu.com/ubuntu/ precise multiverse
deb http://us.archive.ubuntu.com/ubuntu/ precise-updates multiverse
deb-src http://us.archive.ubuntu.com/ubuntu/ precise-updates multiverse

## Uncomment the following two lines to add software from the 'backports'
## repository.
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
# deb http://us.archive.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse
# deb-src http://us.archive.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
# deb http://archive.canonical.com/ubuntu lucid partner
# deb-src http://archive.canonical.com/ubuntu lucid partner

deb http://security.ubuntu.com/ubuntu precise-security main restricted
deb-src http://security.ubuntu.com/ubuntu precise-security main restricted
deb http://security.ubuntu.com/ubuntu precise-security universe
deb-src http://security.ubuntu.com/ubuntu precise-security universe
deb http://security.ubuntu.com/ubuntu precise-security multiverse
deb-src http://security.ubuntu.com/ubuntu precise-security multiverse
# deb http://security.ubuntu.com/ubuntu maverick-security main universe

Directorio: /etc/apt/sources.list.destá vacío.

lsb_release -a es

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 12.04.1 LTS
Release:        12.04
Codename:       precise

apt-cache policy sudo es:

sudo:
  Installed: 1.8.3p1-1ubuntu3.3
  Candidate: 1.8.3p1-1ubuntu3.3
  Version table:
 *** 1.8.3p1-1ubuntu3.3 0
        500 http://us.archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages
        100 /var/lib/dpkg/status
     1.8.3p1-1ubuntu3.2 0
        500 http://security.ubuntu.com/ubuntu/ precise-security/main i386 Packages
     1.8.3p1-1ubuntu3 0
        500 http://us.archive.ubuntu.com/ubuntu/ precise/main i386 Packages

type -a sudo es

sudo is /usr/bin/sudo

sha256sum $(which sudo) es

0efd358e04ea07dc73b67642d9bb85f49143c65996a7c88a57b42557a0b0a50d /usr/bin/sudo

pkexec echo success hice esto:

==== AUTHENTICATING FOR org.freedesktop.policykit.exec ===
Authentication is needed to run `/bin/echo' as the super user
Multiple identities can be used for authentication:
 1.  My Name,,, (me)
 2.  ,Account used for Git,, (git)
 3.  Coworker1,,, (cw1)
 4.  Coworker2,,, (cw2)
 5.  Coworker3,,, (cw3)
 6.  My Name,,, (me)
 7.  Coworker4,,, (cw4)
 8.  Coworker5,,, (cw5)
 9.  ,Account used for Git,, (git)
Choose identity to authenticate as (1-9): 1
Password:
==== AUTHENTICATION COMPLETE ===
success

Los nombres han sido cambiados para proteger a los más inocentes. Me presento dos veces, por alguna razón. Pero ninguno de los otros compañeros de trabajo puede usar Sudo tampoco (los que podrían actualizar previamente de todos modos).

Aquí está la salida de algunos comandos más.

visudo el archivo sudoers y agregado kml ALL=(ALL:ALL) ALLdebajo de la línea raíz

sudo -i echo success volvió lo mismo que antes, nada.

echo foo | sudo tee foo.txt; ls -l foo.txt cedió:

ls: cannot access foo.txt: No such file or directory

Cómo reinstalé Sudo.

Lo logré dos veces.

La primera vez que corrí apt-get install --reinstall sudodesde la raíz

Eso logró poco, así que desinstalé primero a través de: apt-get uninstall sudoseguido de apt-get install sudo

Editar más información, redituada

sudodevuelve silencio después de la autenticación de contraseña y no vuelve a preguntar. sudo -ky sudo -K también falla en silencio. Estaba conectado como root, solicita una contraseña en una cuenta normal.

Más información 2

corrí tail -f /var/log/auth.log

Aquí está la salida de mi sudo lsdesde mi cuenta kml

Feb  6 16:33:27 rhythmsdev sudo: pam_unix(sudo:session): session opened for user root by kml(uid=1010)
Feb  6 16:33:27 rhythmsdev sudo: pam_unix(sudo:session): session closed for user root

Intentar una contraseña incorrecta solicita una nueva contraseña y registra esto

Feb 6 16:35:17 rhythmsdev sudo: pam_unix(sudo:auth): authentication failure; logname=kml uid=1010 euid=0 tty=/dev/pts/0 ruser=kml rhost= user=kml

ed3

sudo apt-get clean && sudo apt-get update && sudo apt-get --purge --reinstall install sudo

Sudo todavía no funciona. Aquí estaba la salida

apt-get install --purge --reinstall sudo
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
  mono-2.0-gac libxcb-aux0 python-fstab libgnomekbd4 libts-0.0-0 libwpd8c2a libcdio10 xsltproc pnm2ppa librpmbuild0 libcolamd2.7.1 lp-solve libglitz-glx1 openoffice.org-writer libntfs10 python-gnome2 libxcb-render-util0 libevent-1.4-2
  gnome-media gnome-desktop-data libgtk-vnc-1.0-0 libgnomepanel2.24-cil xulrunner-1.9.2 libxcb-event1 libindicator0 linux-headers-2.6.32-38 libicu42 openoffice.org-draw libdbusmenu-glib1 ubufox python-aptdaemon-gtk openoffice.org-gtk
  libsilc-1.1-2 libgnome-media0 libbeagle1 g++-4.4 libexchange-storage1.2-3 libgraphite3 libwpg-0.1-1 libibus1 libproxy0 libnm-util1 python-gtksourceview2 libevview2 scrollkeeper libindicate-gtk2 libwebkit-1.0-2
  libmono-system-runtime2.0-cil libpisock9 libdns64 libcamel1.2-14 bcmwl-modaliases librpmio0 librpm0 libgnome2-perl libaccess-bridge-java-jni libstdc++6-4.4-dev libeggdbus-1-0 libnspr4-0d libgtkhtml-editor0 esound-common
  python-pyorbit gdebi-core libnotify1 python-telepathy libedata-cal1.2-6 libaccess-bridge-java libdevkit-power-gobject1 gnome-media-common librasqal2 libpango1.0-common ubuntuone-client-gnome cups-driver-gutenprint libgadu3
  openoffice.org-style-human libmono-cairo2.0-cil libisccc60 cpu-checker libgweather1 python-gtkspell libgnome-bluetooth7 libxxf86misc1 libloudmouth1-0 libsexy2 libxcb-atom1 libido-0.1-0 libgmime2.4-cil compiz-plugins libffi5
  libgnome-pilot2 libdirectfb-1.2-0 openoffice.org-style-galaxy libgssdp-1.0-2 libcryptui0 finger libmusicbrainz4c2a python-pyatspi libgp11-0 libjs-mootools python-webkit libgcr0 libqt4-webkit libcdio-cdda0 libhunspell-1.2-0 liblwres60
  libgmp3c2 libgtksourceview2.0-common openoffice.org-math libhal1 libgtksourceview2.0-0 hal libgnome2-vfs-perl libprotobuf5 libesd0 openoffice.org-common libegroupwise1.2-13 libdbusmenu-gtk1 libgsf-1-common gnome-doc-utils
  libecal1.2-7 at-spi libpoppler5 libgmime-2.4-2 libgdata1.2-1 libedataserver1.2-11 libhal-storage1 libpython2.6 gnome-system-monitor libmldbm-perl libbind9-60 libimobiledevice0 libgtkmm-2.4-1c2a libglitz1 libevdocument2
  libgdata-google1.2-1 libspeechd2 fglrx-modaliases libnunit2.4-cil libclutter-gtk-0.10-0 libebook1.2-9 libmagickcore2 libaudiofile0 libwps-0.1-1 libedataserverui1.2-8 nvidia-173-modaliases libphonon4 libgnome-window-settings1
  libedata-book1.2-2 libgdata6 libxss1 libgs8 openoffice.org-emailmerge libappindicator0 liblpint-bonobo0 ntfsprogs libjpeg62 libgtkhtml-editor-common libqt4-designer libmpfr1ldbl libcdio-paranoia0 libmysqlclient16 libmagickwand2
  libisccfg60 libfreezethaw-perl smartdimmer libgupnp-1.0-3 screen-resolution-extra libnl1 libanthy0 tsconf liboobs-1-4 libgucharmap7 libgksu2-0 libdb4.7 libsilcclient-1.1-3 libindicate4 libndesk-dbus-glib1.0-cil libraptor1 python-wnck
  liboil0.3 libebackend1.2-0 firefox-branding hal-info speech-dispatcher libgnome-desktop-2-17 fuse-utils python-desktopcouch gwibber libisc60 libnice0 linux-headers-2.6.32-38-generic libnautilus-extension1 compiz-fusion-plugins-main
  gnome-applets-data min12xxw libwebkit-1.0-common libavahi-ui0 libprotoc5 nvidia-96-modaliases libavahi-core6 libgupnp-igd-1.0-2 libgnome2-canvas-perl libgtkhtml3.14-19 libgsf-1-114 python-rdflib gnome-panel-data libpoppler-glib4
  libpisync1 libdotconf1.0 python-indicate
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 16 not upgraded.
Need to get 292 kB of archives.
After this operation, 0 B of additional disk space will be used.
Get:1 http://us.archive.ubuntu.com/ubuntu/ precise-updates/main sudo i386 1.8.3p1-1ubuntu3.3 [292 kB]
Fetched 292 kB in 0s (742 kB/s)
(Reading database ... 310429 files and directories currently installed.)
Preparing to replace sudo 1.8.3p1-1ubuntu3.3 (using .../sudo_1.8.3p1-1ubuntu3.3_i386.deb) ...
Unpacking replacement sudo ...
Processing triggers for ureadahead ...
Processing triggers for man-db ...
Setting up sudo (1.8.3p1-1ubuntu3.3) ...

editar 4

sha256sum /usr/lib/sudo/sudoers.so /usr/lib/sudo/sudo_noexec.so resultados en

6f2e56e05d9a3de942558255b72d59a147be2c637247e244c365838378fe6ec3  /usr/lib/sudo/sudoers.so
7db6a45129ec1ef6d4cb21d7a488a85f5b45e4d21990116f64c9e71f116648c0  /usr/lib/sudo/sudo_noexec.so

Sudo como otro usuario (se ejecutó como root)

root@rhythmsdev:/home/kml# sudo -u kml echo success
root@rhythmsdev:/home/kml#

editar 5

Utilizando los scripts proporcionados por Eliah Kagan aquí , verifiqué los grupos duplicados y las identificaciones. Todos los diferenciales aparecen en blanco.

editar 6

strace echo success aquí

editar 7

root@rhythmsdev:/home/kml# sudo echo success
root@rhythmsdev:/home/kml# echo $?
1

editar 8

Esto parece interesante, esto es diferente a un servidor que tiene sudo funcionando

root@rhythmsdev:/home/kml# sudo -l
Matching Defaults entries for root on this host:
    env_reset,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User root may run the following commands on this host:
    (ALL : ALL) ALL
    (ALL) ALL
root@rhythmsdev:/home/kml#

Ese soy yo como root

Yo como yo (no root)

kml@rhythmsdev:~$ sudo -l
[sudo] password for kml:
Matching Defaults entries for kml on this host:
    env_reset,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User kml may run the following commands on this host:
    (ALL : ALL) ALL
    (ALL) ALL
    (ALL : ALL) ALL
kml@rhythmsdev:~$

Gracias,

No tengo ideas por el momento.

kevingreen
fuente
1
@kevingreen Lo siento, todavía estaba editando comentarios! Tal vez deberíamos continuar esto en el chat, ya que este sitio no es apto para discusión y prueba y error de larga duración.
gertvdijk
Se supone que es un servidor, pero apuesto a que originalmente se instaló con una GUI. A uno de nuestros administradores le gustan las GUI.
kevingreen
@EliahKagan agregó más información.
kevingreen
Ok, espero haber entendido esto bien. Si lo hago sudo -u kml echo successdesde un usuario no root, no pasa nada. Si lo hago, se sudo -k echo successme solicita una contraseña, entonces no pasa nada.
kevingreen
1
Hola. Continúe actualizando su pregunta con toda la información nueva. Pero recomiendo que usemos el chat. Si está de acuerdo, únase a mí en esta sala de chat . (Cualquier persona interesada puede unirse a nosotros y / o mirar la transcripción también.)
Eliah Kagan

Respuestas:

4

Esto fue anti-climático ...

Pude solucionarlo cambiando una línea en mi archivo sudoers.

Altere esta linea

Defaults        env_reset

y lo cambié a

Defaults        !env_reset

Esto fue porque noté que sudo -E estaba funcionando. Así que investigué un poco y descubrí una manera de evitar que sudo borre sus variables ambientales. Hasta ahora eso parece haberlo solucionado. Lo que tengo que hacer es averiguar qué variable ambiental debe mantenerse y la agregaré con env_keep + =

Gracias a todos por su ayuda y apoyo, seguiré actualizando esto. No estoy seguro de si alguien sugirió sudo -E antes de avisarme, y le otorgaré la recompensa a esa persona.

ed1

Por lo tanto, podría estar creando problemas de seguridad con! Env_reset. Seguiré actualizando

kevingreen
fuente
0

Compruebe si está en el grupo de administración.

puede arrancar el rescate de rescate y solucionar el problema también utilizando un CD de Linux.

Siempre debe usar visudo cuando modifique el archivo sudoers. visudo verificará la sintaxis del archivo sudo antes de guardarlo, protegiéndolo de este problema específico (¡pero no de escribir un archivo sudoers que no le permita ejecutar sudo!)

Tenga en cuenta que sudoers normalmente está configurado para que no se pueda escribir incluso por root en Ubuntu:

-r--r----- 1 root root 600 2012-06-18 18:00 sudoers

Las protecciones de archivos o la propiedad del archivo sudoers ya no son correctas. El archivo debe ser propiedad del usuario: root y group: las protecciones de root y file deben ser: 0440 (u = r, g = r, o-rwx) .

chown root:root /etc/sudoers
chmod u=r,g=r,o= /etc/sudoers

chown -R root:root /etc/sudoers.d
chmod u=rwx,g=rx,o=rx /etc/sudoers.d/
chmod u=r,g=r,o= /etc/sudoers.d/*

Los archivos deben leerse solo para la raíz del usuario y la raíz del grupo, nada más para nadie. El directorio debe ser rx para todos y para la raíz del grupo, pero solo la raíz del usuario obtiene permiso de escritura en el directorio.

hhlp
fuente
Aquí están los permisos -r--r----- 1 root root 723 Feb 1 10:10 sudoers
kevingreen
Definitivamente estoy en el grupo Sudo y Admin, ya lo verifiqué.
kevingreen
1
La salida del idcomo ahora en los espectáculos de interrogación actualizados el usuario es miembro de la admin, admy sudogrupo. La sintaxis se ve bien en el archivo sudoers e idéntica a la que tengo en mis sistemas 12.04.
gertvdijk
1
@hhlp Estas son buenas sugerencias de solución de sudoproblemas en general, y valió la pena intentarlo aquí. Sin embargo, cuando el usuario no está en el grupo necesario para el uso sudo, o cuando sudoo cualquier de sus archivos de tener la propiedad o permisos mal, no falla en silencio (como sucedió aquí).
Eliah Kagan
1
Deliberadamente estropeé los archivos de sudoers, luego lo intenté para ver qué pasaría. Falló ruidosamente y me dijo que había un error de sintaxis. Lo restauré y volví a fallar en silencio. Si creo un usuario en el grupo incorrecto, sin sudo / admin, falla en voz alta.
kevingreen