"ALL ALL = (ALL) NOPASSWD: ALL" मेरे / etc / sudoers फ़ाइल में ऑटो जोड़ा गया था। क्या यह सिक्योरिटी ब्रीच है?


9

ALL ALL=(ALL) NOPASSWD:ALLलाइन मेरी फ़ाइल के अंत में दो बार ऑटो गयी/etc/sudoers

  • मेरे लिनक्स ने अचानक हर बार जब मैंने एक sudo कमांड चलाया तो पासवर्ड मांगना बंद कर दिया। इसने मुझे इस मुद्दे की जांच की।
  • sudo -kअनुग्रह का समय रीसेट करने के लिए चलने के बाद भी यह मेरा पासवर्ड नहीं मांगेगा।
  • मैंने उस लाइन के अर्थ का पता लगा लिया और इस मुद्दे को ठीक करने के लिए 2 लाइनों पर टिप्पणी की और चीजें वापस सामान्य हो गईं।

    लेकिन मेरी खोजों के अनुसार, sudoers फ़ाइल केवल मैन्युअल रूप से संपादित की जाती है और कोई रास्ता नहीं मैं सभी उपयोगकर्ताओं को सभी आदेशों को NOPASSWD अनुमतियाँ दे सकता था। इसका मतलब यह हो सकता है कि मेरे द्वारा निष्पादित एक स्क्रिप्ट ने sudoers फ़ाइल को बदल दिया है? क्या यह चिंता का कारण है?

OS: लिनक्स मिंट 18.3 दालचीनी


4
जो भी, या जो भी हो, sudoersऐसा करने के लिए रूट विशेषाधिकार की जरूरत के लिए उस लाइन को जोड़ा ।
रोइमा

4
यह निश्चित रूप से चिंता का कारण है। क्या आप किसी घटना के लिए / etc / sudoers के अंतिम संशोधन समय में टाई कर सकते हैं (कुछ अन्य फ़ाइलों के लॉग या संशोधन समय में)
स्टीफन चेज़लस

4
लंबा शॉट, लेकिन sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root/ etc / sudoers के अलावा और कुछ भी वापस करता है ?
रोइमा

@roaima निश्चित रूप से कोशिश करेगा।
नियॉन 44

1
@roaima ओह रुको! grepभी लौट आया है /home/neon/HUAWEI-4g_Dongle/Linux/install। मुझे लगता है कि मुझे मुद्दा मिल गया है। मैं HUAWEI 4g डोंगल https://pastebin.com/e37GGKsu के लिए इंस्टॉल स्क्रिप्ट चला चुका था । इसकी सबसे अधिक संभावना इसके माध्यम से हुई।
नियॉन44

जवाबों:


9

इस कमांड को चलाने के बाद

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

आपने सलाह दी कि कई फाइलें मेल खाती हैं:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

इन फ़ाइलों में से पहले तीन में एक मैच होने की उम्मीद की जा सकती है, और इसे सुरक्षित रूप से अनदेखा किया जा सकता है। दूसरी ओर, चौथा एक संभावित अपराधी प्रतीत होता है और आगे की जांच करता है।

दरअसल, आपका पास्टबिन इन स्निपेट्स को दिखाता है:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

हां, मैं कहूंगा कि काफी घटिया गुणवत्ता कोड से यह एक भयानक (भयानक) सुरक्षा छेद है।

आपकी /etc/sudoersफ़ाइल से लाइनें हटा दी गई हैं (या टिप्पणी की गई हैं) , मैं आपको उस फ़ाइल पर अनुमतियों की जांच करने की भी सलाह दूंगा। वे किया जाना चाहिए ug=r,o=( 0440= r--r-----), शायद के स्वामित्व root: root


फ़ाइल अनुमतियाँ सत्यापित करने के लिए 0440। ऐसा लगता है कि यह एक बहुत बुरी तरह से स्थापित स्क्रिप्ट थी जो डोंगल के साथ बंडल में आई थी। आपका बहुत बहुत धन्यवाद !
नियॉन 44

वाह, grep के लिए अच्छा विचार 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
सप्ताहांत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.