webentwicklung-frage-antwort-db.com.de

Warum setzt `Sudo passwd root` mein root-Passwort zurück? Ist das ein Sicherheitsrisiko?

Sowohl in meinem Ubuntu Desktop Host als auch in meiner virtuellen Maschine. Ich habe mich seit ungefähr einem Monat nicht mehr als root angemeldet, währenddessen habe ich den Kernel aktualisiert. Ich habe festgestellt, dass mein Root-Passwort nicht mehr funktioniert. Durch die Verwendung von Sudo passwd root kann ich das root-Passwort jedoch problemlos durch das aktuelle Benutzerpasswort zurücksetzen. Wie konnte das passieren? Ich habe kein Problem mehr, bin nur neugierig, warum das so ist. Danke!

6
Harry

Zunächst führt Sudo Befehle als root aus, so dass das Zurücksetzen des eigentlichen root-Passworts beim Zugriff als root zu Beginn normalerweise kein Problem darstellt. Sie haben bereits Root-Zugriff über Sudo, daher gibt es kaum Änderungen. (Dies setzt voraus, dass Sie kein Setup haben, das Benutzerbefehle einschränkt, ihnen jedoch die Möglichkeit gibt, Sudo passwd auszuführen. Dies ist jedoch ein Konfigurationsproblem.)

Zweitens müssten Sie den Benutzer a) dazu verleiten, Ihnen das Benutzerkennwort auf die eine oder andere Weise zu geben, um einen PC durch die Verwendung von Sudo passwd aus der Ferne zu infiltrieren (was wiederum Sudo Zugriff gewährt) genauso gut) oder b) physischen Zugriff auf die Maschine haben, in welchem ​​Fall "remote" wahrscheinlich nicht mehr so ​​wahr ist.

Also, nein, es gibt kein direktes Sicherheitsrisiko. Bestimmte (aber ungewöhnliche und unlogische) Konfigurationen können dort eine Lücke schaffen, aber das war's.

8
user98085

Nein, es ist kein Sicherheitsproblem. Wenn Sie die Möglichkeit haben, Sudo-Befehle als root auszuführen, die Benutzer normalerweise in Ubuntu ausführen, ist dies in Ordnung. Die Idee hinter Sudo ist, dass Sie Befehle als root ausführen können, ohne sich als root anzumelden.

Kein Sicherheitsproblem. Nicht ungewöhnlich. Das System funktioniert wie es soll. Es gibt hier nichts zu sehen.

5
Ken Kinder

Es ist kein großes Problem, Ihr Benutzer wurde als root zugelassen. Sie können einen Benutzer erstellen, der nicht als root zugelassen ist.

Schauen Sie sich den Kontotyp an, ein Administrator kann Sudo verwenden, um root zu werden.

Administrator:

admin

Standard:

normal

Aber wie funktioniert das eigentlich? Wir finden die Antwort unter /etc/sudoers (öffne es als root) Du wirst sehen

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group Sudo to execute any command
%Sudo   ALL=(ALL:ALL) ALL

Dies bedeutet, dass nur Mitglieder von Sudo und Administratoren Sudo verwenden können, um mehr Berechtigungen als normale Benutzer zu erhalten.

Möglicherweise möchten Sie auch /etc/group (öffnen Sie es als root) überprüfen, um herauszufinden, wer zu dieser Gruppe gehört.

1
Xiaokang Wang

Sudo führt Befehle als ein anderer Benutzer als der derzeit angemeldete aus. Normalerweise würden Sie dies verwenden, um Dinge als root auszuführen, obwohl Sie Dinge auch als andere Benutzer ausführen können.

Also weist Sudo passwd root das System an, das root-Passwort zu ändern und es so zu tun, als ob Sie root wären. Der Root-Benutzer darf das Passwort des Root-Benutzers ändern, damit sich das Passwort ändert.. Das System funktioniert wie vorgesehen.

Das fehlende Teil dieses Puzzles ist, dass nicht jeder darf es benutzenSudo. So wie Sudo standardmäßig konfiguriert ist, darf dies nur eine Benutzergruppe tun. Der Benutzer, den Sie bei der Installation des Systems erstellt haben, wird automatisch in diese Gruppe aufgenommen. Sie können jedoch Benutzer erstellen, die dies nicht sind. Sie können sich sogar aus dieser Gruppe herausnehmen, wenn Sie wirklich wollen. Sie können Sudo sogar so einstellen, dass einige Benutzer (oder Benutzergruppen) nur bestimmte Dinge tun dürfen.

Das heißt, es ist wahr, dass Ihr erster Benutzer als root alles tun darf. Aus diesem Grund werden Sie von Sudo nach Ihrem Passwort gefragt. Ein Angreifer, der auf Ihr Konto zugreift, benötigt das Root-Passwort nicht, um root-y-Aktionen auszuführen, benötigt jedoch weiterhin Ihr Passwort, um diese Aktionen auszuführen. Viele Angriffe geben dem Angreifer eigentlich kein Passwort, daher begrenzt Sudo den Schaden, der durch diese Angriffe verursacht werden kann.

0
The Spooniest