El usuario "administrador" tiene automáticamente privilegios de sudo

17

Agregué un usuario llamado "admin" a mi servidor Ubuntu 14.04LTS, usando adduser.

Estoy acostumbrado a tener que agregar un usuario al /etc/sudoersarchivo cuando agrego un nuevo usuario que necesita privilegios de sudo, pero esta vez no lo hice. No parece que el usuario 'admin' existiera antes de que lo creara, basado en el resultado en el shell. ¿Por qué funcionó de esta manera?

trpt4him
fuente
En lugar de editar manualmente el archivo sudoers, agréguelos al admingrupo.
Kaz Wolfe

Respuestas:

30

Por defecto adduseragrega a cada nuevo usuario a un grupo con el mismo nombre que el usuario (el grupo se crea si aún no existe). Entonces, si crea un usuario llamado admin, se agregará al grupo admin.

/etc/sudoers contiene la línea

%admin ALL=(ALL) ALL

lo que significa que todos los miembros del grupo adminpueden usar sudo, y eso también es cierto para su adminusuario.

Florian Diesch
fuente
8
Esto cae dentro de la definición de "error" o "problema de seguridad" en mi opinión. ¿Por qué debería haber una secuencia mágica de letras que te dé superpoderes si la usas como tu nombre de usuario?
Federico Poloni
1
@FedericoPoloni está de acuerdo con usted, aunque alguien que intente explotar esto tendría que llamar adduser, lo que significaría que ya tiene privilegios de administrador ... Aún así, vale la pena agregar un informe de error, creo que
nico
77
@FedericoPoloni Bug, en absoluto. El sistema agrega usuarios a su propio grupo con el mismo nombre. Joeentra en un grupo llamado Joe. adminsucede que va a un grupo llamado admin. Pero, admines un grupo de sistemas. Es el grupo que por defecto tiene permitido usar sudo. Además, puede especificar grupos, para que el adminusuario no entre en el admingrupo. Finalmente, es un problema de seguridad tener un usuario llamado admin. He tenido ataques de fuerza bruta SSH contra mí confiando en que use el nombre de usuario admin.
Kaz Wolfe
3
@Whaaaaaat, por alguna razón, ver ese nombre de usuario al final de tus publicaciones me hace cuestionar todo lo que dices :)
trpt4him
55
Creo que, dada la política de un usuario, un grupo, el comportamiento esperado (al menos para mí) es rescatar con un error si el nombre del grupo existe (como ocurre si el nombre de usuario existe). Voto por el error, o al menos por un comportamiento inesperado.
Rmano