Considere esto: escribe $sudo apt-get upgrade
y obtiene una lista de cosas que necesitan actualizarse con una confirmación "S \ n". antes de que pueda leer la lista y escriba "S" o "n", suena el teléfono o entra su jefe o usted hace algo más. Vuelves una hora más tarde y presionas Y para instalar las actualizaciones.
No se le volverá a solicitar una contraseña. presumiblemente, se ejecutarán más comandos sudo en el shell, porque el temporizador ha estado en espera esperando la entrada del usuario. O un usuario puede matar el proceso de actualización y hacer algo como sudo -i
simplemente permanecer en la raíz indefinidamente.
Estoy usando ubuntu mate 14.04
¿Es esta una notable excepción de seguridad? ¿Debo tratar de informarlo en algún lugar? ¿Si es así, donde?
Defaults passwd_timeout=3
mi archivo sudoers, al ejecutar lasudo apt-get upgrade
contraseña no se me pide. Eso no es buenoRespuestas:
No se le solicita una contraseña porque
sudo
ha hecho su trabajo y comenzóapt-get
como root. Mientras está en el indicador, elapt-get
proceso aún se está ejecutando, por lo que dado que todavía se está ejecutando como root, no es necesario ingresar su contraseña nuevamente.En otras palabras, mientras se
sudo
esté ejecutando un proceso 'ed, no se le pedirá que ingrese su contraseña nuevamente para ese proceso;sudo
no interrumpe el proceso cada 15 minutos (el tiempo de espera predeterminado) y solicita su contraseña.Ahora, si fuera a abrir otra terminal e intentara ejecutar otro proceso
sudo
, se le solicitará su contraseña.fuente
sudo
Latimestamp_timeout
variable predeterminada es de 15 minutos. Esto significa que si hace clic en nsudo apt-get upgrade
dentro de los 15 minutos, puede anticipar la entrada de root shell consudo -i
. Eso es exactamente lo que pasó. Sin embargo, si configura eso/etc/sudoers
comoDefault timestamp_timeout 0
, se le pedirá que lo haga cada vez. Personalmente, lo configuré en 3. Si su sudo no agota el tiempo de espera incluso después de 15 minutos, entonces hay algo muy mal con susudo
binario.Este comportamiento no es un agujero de seguridad, sino una "característica de conveniencia" para los usuarios de sudo. Sin embargo, puedo estar de acuerdo en que para una seguridad más estricta,
timestamp_timeout
debe establecerse en un tiempo mucho más corto que 15 minutos.Nota : la
passwd_timeout
opción que he mencionado en mi comentario realmente agota el tiempo de solicitud de contraseña cuando no escribe la contraseña durante x minutos. Ese es uno de los momentos agradables donde te das cuenta de que debes leer conman sudoers
mucho más cuidado.fuente
/etc/sudoers
directamente, usevisudo
en su lugar lo que verifica si hay errores de sintaxis antes de reemplazarlosudoers
con un archivo defectuoso que de otro modo podría bloquearlo por completo del acceso a la raízLe sugiero que escriba
sudo apt-get upgrade && exit
esto saldrá de la terminal después de terminar la actualización. Cuando se cancela la actualización, el terminal no se cerrará, pero creo que ese no será el caso.fuente