Ubuntu 22.04：sudo 不要求输入密码，sudoers.d 为空，并且 /etc/sudoers 中没有“NOPASSWD”条目

Question 1

顺便说一句，我设法解决了这个问题，只需从安装了全新 Ubuntu 22.04 的新虚拟机中复制 /etc/pam.d 中的文件（我在之前的 Ubuntu 20.04 和 18.04 等中从未手动编辑过）即可。

因此看起来它是从以前的 Ubuntu 版本继承而来，其中“pam.d”配置无论如何都有不同的行为（总是询问 sudo 密码）。

我尝试对“pam.d”目录中包含的文件进行差异分析，但这些文件多达 44 个，因此非常耗时。

如果有人感兴趣，我可能会发布“diff”的输出，我们可以尝试调查哪一行导致了这种奇怪的行为。

顺便说一句，在对 pam.d 文件进行“原始”复制之前，我尝试使用 Google 和 Linux 文档调查与身份验证相关的每个文件（例如 common-auth 等），但没有发现任何有意义的东西。

Answer

顺便说一句，我设法解决了这个问题，只需从安装了全新 Ubuntu 22.04 的新虚拟机中复制 /etc/pam.d 中的文件（我在之前的 Ubuntu 20.04 和 18.04 等中从未手动编辑过）即可。

因此看起来它是从以前的 Ubuntu 版本继承而来，其中“pam.d”配置无论如何都有不同的行为（总是询问 sudo 密码）。

我尝试对“pam.d”目录中包含的文件进行差异分析，但这些文件多达 44 个，因此非常耗时。

如果有人感兴趣，我可能会发布“diff”的输出，我们可以尝试调查哪一行导致了这种奇怪的行为。

顺便说一句，在对 pam.d 文件进行“原始”复制之前，我尝试使用 Google 和 Linux 文档调查与身份验证相关的每个文件（例如 common-auth 等），但没有发现任何有意义的东西。

Question 2

进一步研究“正确”设置和以某种方式“继承”的设置之间的差异。

# cd /etc/pam.d ; diff -r . ~/pam-save-20230731/ -y --suppress-common-lines
diff -r -y --suppress-common-lines ./common-account /root/pam-save-20230731/common-account
account [success=1 new_authtok_reqd=done default=ignore]      | account [default=1]                     pam_permit.so
account sufficient                      pam_localuser.so      <
account [default=bad success=ok user_unknown=ignore]    pam_s <
diff -r -y --suppress-common-lines ./common-auth /root/pam-save-20230731/common-auth
auth    [success=2 default=ignore]      pam_unix.so nullok    | auth    [default=1]                     pam_permit.so
auth    [success=1 default=ignore]      pam_sss.so use_first_ <
diff -r -y --suppress-common-lines ./common-password /root/pam-save-20230731/common-password
password        requisite                       pam_pwquality | password        [default=1]                     pam_permit.so
password        [success=2 default=ignore]      pam_unix.so o <
password        sufficient                      pam_sss.so us <
diff -r -y --suppress-common-lines ./common-session /root/pam-save-20230731/common-session
session required        pam_unix.so                           <
session optional                        pam_sss.so            <
session optional        pam_systemd.so                        <
diff -r -y --suppress-common-lines ./common-session-noninteractive /root/pam-save-20230731/common-session-noninteractive
session required        pam_unix.so                           <

在不同的系统上有：

# diff -r -y --suppress-common-lines . ~/pam-20230731/
diff -r -y --suppress-common-lines ./common-account /root/pam-20230731/common-account
account [success=1 new_authtok_reqd=done default=ignore]      | account [default=1]                     pam_permit.so
account sufficient                      pam_localuser.so      <
account [default=bad success=ok user_unknown=ignore]    pam_s <
diff -r -y --suppress-common-lines ./common-auth /root/pam-20230731/common-auth
auth    [success=2 default=ignore]      pam_unix.so nullok    | auth    [default=1]                     pam_permit.so
auth    [success=1 default=ignore]      pam_sss.so use_first_ <
diff -r -y --suppress-common-lines ./common-password /root/pam-20230731/common-password
password        requisite                       pam_pwquality | password        [default=1]                     pam_permit.so
password        [success=2 default=ignore]      pam_unix.so o <
password        sufficient                      pam_sss.so us <
diff -r -y --suppress-common-lines ./common-session /root/pam-20230731/common-session
session required        pam_unix.so                           <
session optional                        pam_sss.so            <
session optional        pam_systemd.so                        <
diff -r -y --suppress-common-lines ./common-session-noninteractive /root/pam-20230731/common-session-noninteractive
session required        pam_unix.so                           <

pam-auth-update 显示：

 │    [ ] Pwquality password strength checking                               │
 │    [ ] Unix authentication                                                │
 │    [ ] SSS authentication                                                 │
 │    [ ] Register user sessions in the systemd control group ...            │
 │    [*] Create home directory on login                                     │
 │    [*] Inheritable Capabilities Management                                │

显然应该是：

 │    [*] Pwquality password strength checking                               │
 │    [*] Unix authentication                                                │
 │    [*] SSS authentication                                                 │
 │    [*] Register user sessions in the systemd control group ...            │
 │    [*] Create home directory on login                                     │
 │    [*] Inheritable Capabilities Management                                │

设置完最后的设置后，一切恢复正常。还观察到...登录/ssh 等时，任何密码都可以。它仍然会要求输入密码，但从不验证。在看到 unix 身份验证也不需要后，这一点就变得很明显了。

因此，这个问题比看上去的要严重得多。

Answer