Ubah batas waktu kata sandi sudo default

18

Ketika saya menjalankan sudodan memasukkan kata sandi saya, permohonan berikutnya sudodalam beberapa menit tidak perlu kata sandi dimasukkan kembali.

Bagaimana saya bisa mengubah batas waktu default untuk meminta kata sandi lagi?

sudo 
Tom Hale
sumber

Jawaban:

28

man sudoers mengatakan:

Setelah pengguna diautentikasi, [...] pengguna kemudian dapat menggunakan sudo tanpa kata sandi untuk waktu yang singkat (5 menit kecuali diganti oleh timestamp_timeoutopsi).

Untuk mengubah batas waktu, jalankan, sudo visudodan tambahkan baris:

Defaults        timestamp_timeout=30

di mana 30batas waktu baru dalam hitungan menit.

Untuk selalu membutuhkan kata sandi, setel ke 0. Untuk mengatur batas waktu tak terbatas, atur nilainya menjadi negatif.

Untuk sepenuhnya menonaktifkan permintaan kata sandi untuk pengguna ravi:

Defaults:ravi      !authenticate
Tom Hale
sumber
3

Anda perlu mengedit / etc / sudoers. Bagi mereka yang tidak menggunakan vi, Anda harus mengedit file ini (pada beberapa rasa Linux) dengan perintah terminal seperti ini:

sudo EDITOR=gedit visudo

Kemudian tambahkan atau ubah timestamp_timeout:

# After authenticating, this is the amount of time after which
# sudo will prompt for a password again in the same terminal
Defaults    timestamp_timeout=30
Qwertie
sumber
Cara yang benar ™ untuk menghindari vi, akan mengatur $EDITORvariabel ke sesuatu yang lain. Gagasannya visudobukan untuk menelepon vi, tetapi untuk mencegah orang mengunci diri mereka (dan orang lain bergantung pada sudo) keluar dari rootakun mereka dengan 1) menyalin /etc/sudoerske file sementara, 2) memanggil $EDITORfile ini, 3) menjalankan pemeriksaan sintaksis pada ini file dan 4) akhirnya diganti /etc/sudoersdengan versi yang diperbarui.
Andreas Wiese
visudoDokumentasi mengatakan ini: "Biasanya, visudo tidak menghormati variabel lingkungan VISUAL atau EDITOR kecuali jika mereka mengandung editor dalam daftar editor yang disebutkan di atas" - dan daftar default hanya untuk vi, sementara memungkinkan setiap editor dikatakan sebagai lubang keamanan. Tapi saya bisa memastikan bahwa itu sudo EDITOR=gedit visudoberfungsi pada kotak CentOS 7.2 saya. Sintaks yang disediakannya tentu saja merupakan Good Thing.
Qwertie
Ah, ya, terima kasih atas klarifikasi (lebih lanjut), saya melewatkan itu. Tapi IIRC Anda juga dapat mengubah editor default sudoersitu sendiri - hanya untuk catatan. Saya yakin pemeriksaan sintaks akan memberi tahu. ;)
Andreas Wiese
3

sudo visudo adalah untuk memodifikasi file konfigurasi default secara langsung, tetapi dalam file memiliki saran di bawah ini

Silakan pertimbangkan untuk menambahkan konten lokal di /etc/sudoers.d/ daripada langsung memodifikasi file ini.

Jadi, cara yang lebih baik adalah

cd /etc/sudoers.d
sudo visudo -f user_name

Tambahkan konten

Defaults timestamp_timeout=(number)

(number)adalah batas waktu baru dalam hitungan menit .

timestamp_timeout (man 5 sudoers)

Jumlah menit yang dapat dilewati sebelum sudo akan meminta passwd lagi. Batas waktu dapat mencakup komponen fraksional jika granularitas menit tidak mencukupi, misalnya 2,5. Standarnya adalah 15. Setel ini ke 0 untuk selalu meminta kata sandi. Jika diatur ke nilai kurang dari 0 stempel waktu pengguna tidak akan kedaluwarsa hingga sistem dinyalakan kembali. Ini dapat digunakan untuk memungkinkan pengguna membuat atau menghapus prangko waktu mereka masing-masing melalui “sudo -v” dan “sudo -k”.

Simpan file dengan menekan Ctrl+ Odan tekan enter, dan keluar menggunakan Ctrl+ X.

Key Shang
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.