“ALL ALL = (ALL) NOPASSWD: ALL” ditambahkan secara otomatis di file / etc / sudoers saya. Apakah ini Pelanggaran Keamanan?

9

ALL ALL=(ALL) NOPASSWD:ALLbaris otomatis ditambahkan dua kali di akhir /etc/sudoersfile saya .

  • Linux saya tiba-tiba berhenti meminta kata sandi setiap kali saya menjalankan perintah sudo. Ini membuat saya menyelidiki masalah ini.
  • Bahkan setelah berjalan sudo -kuntuk mengatur ulang waktu tenggang, itu tidak akan meminta kata sandi saya.
  • Saya menemukan arti dari baris itu dan berkomentar 2 baris untuk memperbaiki masalah dan semuanya kembali normal.

    Tetapi sesuai pencarian saya, file sudoers hanya diedit secara manual dan tidak mungkin saya bisa memberikan SEMUA pengguna izin NOPASSWD untuk SEMUA perintah. Apakah ini berarti bahwa skrip yang saya jalankan mengubah file sudoers? Apakah ini penyebab kekhawatiran?

OS: Linux Mint 18.3 Cinnamon

security  sudo 
Neon44
sumber
4
Siapa pun, atau apa pun, menambahkan baris itu ke sudoersdiperlukan untuk memiliki hak root untuk melakukannya.
roaima
4
Itu tentu saja menjadi penyebab kekhawatiran. Dapatkah Anda mengikat waktu modifikasi terakhir dari / etc / sudoers ke beberapa peristiwa (dalam log atau waktu modifikasi dari beberapa file lain)
Stéphane Chazelas
4
Tembakan panjang, tetapi apakah sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /rootmengembalikan sesuatu selain / etc / sudoers?
roaima
@roaima pasti akan mencobanya.
Neon44
1
@roaima Oh, tunggu! grepjuga telah kembali /home/neon/HUAWEI-4g_Dongle/Linux/install. Saya pikir saya telah menemukan masalahnya. Saya telah menjalankan skrip instalasi untuk dongle HUAWEI 4g https://pastebin.com/e37GGKsu . Kemungkinan besar terjadi melalui ini.
Neon44

Jawaban:

9

Setelah menjalankan perintah ini

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

Anda menyarankan beberapa file cocok:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

Tiga file pertama ini diharapkan secara wajar mengandung kecocokan, dan dapat diabaikan dengan aman. Yang keempat, di sisi lain, tampaknya menjadi penyebab yang mungkin dan melakukan penyelidikan lebih lanjut.

Memang, pastebin Anda menunjukkan cuplikan ini:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

Ya, saya akan mengatakan itu lubang keamanan (mengerikan) dari kode kualitas yang cukup buruk.

Setelah menghapus (atau berkomentar) baris-baris dari /etc/sudoersfile Anda , saya juga akan merekomendasikan Anda memeriksa izin pada file itu. Mereka harus ug=r,o=( 0440= r--r-----), mungkin dimiliki oleh root: root.

roaima
sumber
Diverifikasi izin file menjadi 0440. Sepertinya itu adalah script instalasi yang sangat buruk yang dibundel dengan dongle. Terima kasih banyak !
Neon44
Wow, ide bagus untuk grep 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
Akhir pekan
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.