"ALL ALL = (ALL) NOPASSWD: ALL" è stato aggiunto automaticamente nel mio file / etc / sudoers. È una violazione della sicurezza?

9

ALL ALL=(ALL) NOPASSWD:ALLla riga è stata aggiunta automaticamente due volte alla fine del mio /etc/sudoersfile.

  • Il mio Linux improvvisamente ha smesso di chiedere una password ogni volta che ho eseguito un comando sudo. Questo mi ha fatto indagare sul problema.
  • Anche dopo l'esecuzione sudo -kper reimpostare il tempo di tolleranza non richiederebbe la mia password.
  • Ho capito il significato di quella riga e ho commentato le 2 righe per risolvere il problema e le cose sono tornate alla normalità.

    Ma secondo le mie ricerche, il file sudoers viene modificato solo manualmente e in nessun modo avrei potuto dare a TUTTI gli utenti le autorizzazioni NOPASSWD a TUTTI i comandi. Questo potrebbe significare che uno script che ho eseguito ha cambiato il file sudoers? Questa è una fonte di preoccupazione?

Sistema operativo: Linux Mint 18.3 Cinnamon

security  sudo 
Neon44
fonte
4
Chiunque, o qualsiasi altra cosa, ha aggiunto quella linea al sudoersnecessario per avere i privilegi di root per farlo.
roaima,
4
Questa è certamente una fonte di preoccupazione. Riesci a legare l'ultimo tempo di modifica di / etc / sudoers a qualche evento (nei registri o nei tempi di modifica di alcuni altri file)
Stéphane Chazelas,
4
Colpo lungo, ma sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /rootrestituisce qualcosa di diverso da / etc / sudoers?
roaima,
@roaima lo proverà sicuramente.
Neon44,
1
@roaima Oh aspetta! grepè anche tornato /home/neon/HUAWEI-4g_Dongle/Linux/install. Penso di aver trovato il problema. Avevo eseguito lo script di installazione per il dongle HUAWEI 4g https://pastebin.com/e37GGKsu . Molto probabilmente è successo attraverso questo.
Neon44,

Risposte:

9

Dopo aver eseguito questo comando

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

hai avvisato che diversi file corrispondono:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

Si potrebbe ragionevolmente prevedere che i primi tre di questi file contengano una corrispondenza e possono essere tranquillamente ignorati. Il quarto, d'altra parte, sembra essere un possibile colpevole e porta ulteriori indagini.

Infatti, il tuo pastebin mostra questi frammenti:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

Sì, direi che è un (terribile) buco nella sicurezza dal codice di qualità abbastanza scadente.

Dopo aver rimosso (o commentato) le righe dal tuo /etc/sudoersfile, ti consiglio anche di controllare le autorizzazioni su quel file. Essi dovrebbero essere ug=r,o=( 0440= r--r-----), probabilmente di proprietà di root: root.

roaima
fonte
Verificato che i permessi dei file siano 0440. Sembra che sia stato uno script di installazione davvero scadente fornito in bundle con il dongle. Molte grazie !
Neon44
Wow, buona idea per grep 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
Weekend
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.