私のDebianインストールのグループメンバーは、sudoパスワードを入力しなくても何でもできます。これは便利ですが悪い考えのようです。
メモ:私のコンピュータは、サーバーやそれと似ていない一般的なデスクトップです。
無効にする必要がありますか、それとも安全ですか?
起こり得る状況(つまり、可能な攻撃ベクトル)を説明するためのボーナスポイントです。
ベストアンサー1
このsudoコマンドはで実行されます/etc/sudoers。
これには次の行を含める必要があります。
%sudo ALL=(ALL) ALL
これにより、sudoグループのすべてのメンバーは任意のコマンドを許可できます(すべてのホストのすべてのユーザー)。
行にそのNOPASSWD:部分が含まれていない場合は、自分のパスワードを入力するように求められます。
新しいソフトウェアのインストールなどの管理タスクを完了するには、いくつかの方法が必要です。 2つの主な方法は、専用のルートパスワードを使用して明示的にrootとしてログインするか、sudoそれを許可する権限を持つユーザーを使用することです。
アクティベーションはNOPASSWD:時々便利ですが、sudoフィードバックなしでスクリプトを使用できるため、日常のアカウントには危険です。
そうでない場合は、NOPASSWD:パスワードsudoを入力するように求められます。これを行うには、コマンドを明示的に確認する必要があり、日常的なアカウントに適した設定です。唯一の弱点は、確認情報がしばらくキャッシュされることです。これは、いくつかのsudo操作を実行した後、他の人が端末にアクセスしてそれを悪用する可能性があることです。
「正しい」構成は状況によって異なりますが、通常はルートパスワードがまったくないホストを設定します。このようにルート操作を実行する唯一の方法は、一般(個人化された!)ユーザーとsudoとしてログインすることです。
これにより、多くの制御力が得られます。複数の人にrootアクセスを許可する必要がある場合は、その人をsudoグループに追加するだけです。これにより、誰がいつどのルートコマンドを実行したかをログファイルで確認できます。どのユーザーがどのコマンドを実行できるかを指定することもできます。