Cambiar el tiempo de espera predeterminado de la contraseña de sudo

18

Cuando ejecuto sudoe ingreso mi contraseña, una invocación posterior de sudounos minutos no necesitará volver a ingresar la contraseña.

¿Cómo puedo cambiar el tiempo de espera predeterminado para solicitar nuevamente la contraseña?

sudo Tom Hale
fuente

Respuestas:

28

man sudoers dice:

Una vez que un usuario ha sido autenticado, [...] el usuario puede usar sudo sin contraseña por un corto período de tiempo (5 minutos a menos que la timestamp_timeoutopción lo anule).

Para cambiar el tiempo de espera, ejecute sudo visudoy agregue la línea:

Defaults        timestamp_timeout=30

¿Dónde 30está el nuevo tiempo de espera en minutos?

Para solicitar siempre una contraseña, establezca en 0. Para establecer un tiempo de espera infinito, configure el valor como negativo.

Para deshabilitar totalmente la solicitud de una contraseña para el usuario ravi:

Defaults:ravi      !authenticate
Tom Hale
fuente
3

Necesita editar / etc / sudoers. Para aquellos que no usan vi, deben editar este archivo (en algunos tipos de Linux) con un comando de terminal como este:

sudo EDITOR=gedit visudo

Luego agregue o cambie timestamp_timeout:

# After authenticating, this is the amount of time after which
# sudo will prompt for a password again in the same terminal
Defaults    timestamp_timeout=30
Qwertie
fuente
La forma correcta de evitarlo visería establecer la $EDITORvariable en otra cosa. La idea de visudono es llamar vi, sino evitar que las personas se bloqueen (y cualquier otra persona que dependa sudo) de su rootcuenta al 1) copiar /etc/sudoersa un archivo temporal, 2) llamar $EDITORa este archivo, 3) ejecutar una verificación de sintaxis en este archivo y 4) eventualmente reemplazando /etc/sudoerscon la versión actualizada.
Andreas Wiese
visudoLa documentación dice: "Normalmente, visudo no respeta las variables de entorno VISUAL o EDITOR a menos que contengan un editor en la lista de editores antes mencionada" - y la lista por defecto es solo vi, mientras permite que cualquier editor sea un agujero de seguridad. Pero puedo confesar que sudo EDITOR=gedit visudofunciona en mi caja CentOS 7.2. La verificación de sintaxis que proporciona es ciertamente una buena cosa.
Qwertie
Ah, sí, gracias por la (más) aclaración, me perdí eso. Pero IIRC también puede cambiar el editor predeterminado en sudoerssí mismo, solo para el registro. Estoy seguro de que la verificación de sintaxis lo dirá. ;)
Andreas Wiese
3

sudo visudo es modificar el archivo de configuración predeterminado directamente, pero en el archivo tiene una sugerencia a continuación

Considere agregar contenido local en /etc/sudoers.d/ en lugar de modificar directamente este archivo.

Entonces, la mejor manera es

cd /etc/sudoers.d
sudo visudo -f user_name

Agrega el contenido

Defaults timestamp_timeout=(number)

(number)es el nuevo tiempo de espera en minutos .

timestamp_timeout (hombre 5 sudoers)

Número de minutos que pueden transcurrir antes de que sudo solicite nuevamente una contraseña. El tiempo de espera puede incluir un componente fraccional si la granularidad minuto es insuficiente, por ejemplo 2.5. El valor predeterminado es 15. Establezca esto en 0 para solicitar siempre una contraseña. Si se establece en un valor inferior a 0, la marca de tiempo del usuario no caducará hasta que se reinicie el sistema. Esto se puede utilizar para permitir a los usuarios crear o eliminar sus propias marcas de tiempo a través de "sudo -v" y "sudo -k" respectivamente.

Guarde el archivo presionando Ctrl+ Oy presione enter, y salga usando Ctrl+ X.

Key Shang
fuente