👷🏻 👩🏻‍🚒 👦🏻 sudoでパスワードを入力する必要があるのはなぜですか？ 🆙 😊 🙇🏻

もし

それは個人的な作業環境です。 ¹
あなたは物事を成し遂げるほど妄想的ではありません：
- すべてのプログラムはユーザーから機能します。 ²
- /ホームはnoexecなしでマウントされます。これはほとんど役に立たず、ほとんどの場合非常に便利ではありませんが、もしあなたがそのように持っているなら、あなたは良い妄想として、ここまで行く見込みがあります。
ユーザーの下からシステムを定期的に管理します（同じsudoを使用）。 ³

作業環境

作業環境は、システムの他の部分から隔離したい潜在的な感染源です。意図的な悪意に対する保護に加えて、その権限を下げる（「rootとして実行しない」と呼ばれる）ことで、rootが許さない深刻なエラーや不十分な記述プログラムからあなたを救います。

実際、パスワードを要求しないsudoはタイプミス保護に干渉しません（もちろん、この失敗した構造をすぐにsudoで再印刷する不快な反射がない限り）。また、ソフトウェアは通常、sudoを単独で使用することに慣れていないため、パスワードを「明確にする」のに役立つ唯一のものが役立ちます-悪意のあるウイルスと侵入者が、システム全体をひざまずかせようとしています。

再び分離について

ユーザー自身（感染が存在する場所）からユーザーシェル（sudoを入力し、次にパスワードを入力する場所）を分離することは、簡単な作業ではなく、設定された形式で最も簡単な作業ではありません。より簡単な方法は、ブラウザなどの潜在的に信頼性の低いプログラムを起動することです。特に偏執的なユーザー-トレントクライアント、さらにはオフィススイート-外部データで動作するプログラム-を個別の環境で（個別のユーザーおよび/またはchrootでも）起動します。しかし、ほとんどの読者は、おそらく、そのようなかなり高価な構造に興味がなかったでしょう。

苦労したら

シェルの構成と起動をユーザーから分離できます。.bashrcおよびbashを実行するアプリケーションの構成に制限付きの権利を設定し、ウィンドウマネージャーに線形的に再帰的に設定します（包括的ではありません）。

実際には、複雑だが無尽蔵のシステム。おそらく、それはあまり永続的な攻撃者を撃退するでしょう:)

そして、何も、孤立なしでは不可能です？

攻撃者がsudoに.bashrcエイリアスを書き込むだけで十分です。このようなツールの自動使用の事例について聞いたことはありませんが、盲目的にht7Qxfc8を友好的でない仲間のircにほぼ直接入力します。 最も人気のあるディストリビューションのユーザーに適しているため、パスワードなし。

パスワードの入力を停止する時が来ました

一般的に、新しいレベルのパラノイア（この記事の範囲を超える）に移行するか、作業環境を恐れず、その環境で特権を取得することは、システムでルート特権を取得することと同等であることに同意するときです。そして、設定を変更します。

何を変えるべきか

構成のどこか深いところ

sudoは元のユーザーの信頼性のみをチェックすることを思い出してください。つまり、NOPASSWDの存在に関係なく、仕様のユーザーは、記述された特権エスカレーションに対する無条件の権利を持っています。

だった

%wheel ALL=(ALL) ALL

になっています

%wheel ALL=(ALL) NOPASSWD: ALL

％wheel-この権利を付与されたユーザーのグループ。

録音のタイプは大きく異なる可能性がありますが、最も重要なのはNOPASSWDの場所です。これは、私たちにとって関心のある最後のALLの前にあります。（その方法、またはあなたはおそらくそれがどこにあるかすでに知っています:)

また、推奨されるvisudo

を使用してこの構成を編集することもできます。この構成は、とりわけ、事前に記述された解析の対象となります。

ルールの重要な例外

あなたの後ろにはこのperlスクリプトをチェックアウトしたい人がいます。
この男はsudo make sandwichについての冗談を知っています。
前の2つのポイントにもかかわらず、ロック画面を離れることなく職場を離れます。

sudoでパスワードを入力する必要があるのはなぜですか？

もし