将自己添加到 sudo 组是一个坏主意吗?

将自己添加到 sudo 组是一个坏主意吗?

我的 Debian 安装中的组成员sudo无需输入密码即可执行任何操作。这很方便,但似乎是个坏主意。

笔记:我的电脑是一个普通的台式机,而不是服务器或类似的东西。

我应该禁用它还是安全?

解释可能发生的情况(即可能的攻击向量)的奖励积分。

答案1

sudo命令由/etc/sudoers.

这应该包含如下行:

 %sudo ALL=(ALL) ALL

这允许 sudo 组的所有成员允许任意命令(在任何主机上以任何用户身份)。

它要求您输入自己的密码,除非该行包含该NOPASSWD:部分。


您需要某种方法来完成管理任务,例如安装新软件。两种主要方法是使用专用 root 密码以 root 身份显式登录,或者使用允许sudo这样做的特权用户。

激活NOPASSWD:有时很方便,但对于日常帐户来说可能很危险,因为即使是脚本也可以在sudo没有任何反馈的情况下使用。

如果没有NOPASSWD:sudo将要求您输入密码。这要求您明确确认该命令,对于日常帐户来说是一个很好的设置。唯一的弱点是,确认信息会被缓存一段时间,这可能会被其他人在您执行某些 sudo 操作后访问您的终端而利用。


“正确”的配置有点取决于你的情况,但我通常设置一个完全没有 root 密码的主机。这样,执行 root 操作的唯一方法就是以常规(个性化!)用户身份登录并执行 sudo。

这样你就有了很大的控制权。如果应该允许多个人 root 权限,只需将这些人添加到 sudo 组即可。之后您可以在日志文件中看到谁在何时发出了哪个 root 命令。您甚至可以指定允许哪个用户执行哪个命令等等。

相关内容