太长了;博士sudo通常,通过需要特殊的用户帐户并使用其密码作为身份验证的方式来获得 root 权限。由于键盘记录/重放(在 X.org 会话中)攻击,我想添加另一个安全层(例如,需要存在 USB 加密狗)。这可能吗?
长版
我知道成为 root 可能很危险,但有时我会执行sudo -i一些我尚未设置为在没有 root 权限的情况下工作的任务。由于懒惰,我经常在 X.org 会话中执行此操作,问题是其他有些阉割/沙盒的网络浏览器可以读取我的用户密码。使用此密码短语可以通过 进行权限升级sudo。我想通过仅允许在存在另一个第二个身份验证因素时使用sudo(硬件触发的身份验证因素,以防止仅软件攻击)来缓解这种情况。因此我的问题。
使用 udev,我可以相应地更新/调整 /etc/sudoers 文件(即,当 USB 加密狗存在时,动态地在我的用户处更新/调整 sudoers)。我的问题是如果有更直接的方法来做到这一点。我的阅读man sudo并没有给我提供任何帮助,但也许有办法。
澄清:我知道许多类型的键盘记录器都是盒子被拥有和丢失的证据。我在这里问是因为我认为 X.org Gui 应用程序在某种程度上可以自由地嗅探彼此的键盘输入,从而阻止我sudo在 X.org 会话中使用。