ein sicherer kein passwort sudo?

3422
V_H

Ok, hier ist mein Problem - Bitte schrei mich nicht an, weil ich unsicher bin! :) Dies ist auf meinem Host-Rechner. Ich bin der einzige, der es verwendet, also ist es ziemlich sicher, aber ich habe ein sehr komplexes Passwort, das nur schwer wieder und wieder einzugeben ist. Ich verwende die Konsole zum Verschieben von Dateien und zum Ausführen von willkürlichen Befehlen, und ich wechsle die Terminals. Das Sudo-Erinnern für die Konsole reicht nicht aus (UND ich muss mein schreckliches Passwort mindestens einmal eingeben!) Ich habe den NOPASSWD-Trick in Sudoern verwendet, aber ich habe mich für mehr Sicherheit entschieden. Gibt es eine Art Kompromiss, außer, dass bestimmte Apps keinen Zugriff auf das Kennwort zulassen? (was immer noch unsicher sein kann) Etwas, das Malware und Remote-Logins von sudo rm -rf / -ing stoppt, aber in meinen Terminals kann ich glücklich wegtippen? Kann ich das pro Terminal haben, vielleicht also kommen zufällige Befehle nicht durch? Ich habe versucht, die Terminal-Emulationen als Sudo auszuführen, aber das macht mich als root.

3
Dies wird mich in Flammen bringen (also ein Kommentar): Wenn niemand physischen Zugriff auf Ihren Computer hat, benötigen Sie kein Passwort. Wenn jemand physischen Zugriff auf Ihren Computer hat, benötigt er kein Kennwort, um von CD zu booten und die Kontrolle zu übernehmen. Ein Passwort ist nur gegen zufällige Passanten nützlich, nicht gegen jemanden mit (wenig) Wissen und Zeit. harrymc vor 13 Jahren 7
@ harrymc: Richtig, physischer Zugriff ist immer der Schwachpunkt, an dem physischer Zugriff möglich ist. Es sei denn, die Dateisysteme sind verschlüsselt und die Schlüssel sind natürlich nicht unsicher gespeichert. David Spillett vor 13 Jahren 0
@ harrymc: Sie wissen, dass Sie im Grunde die ganze Zeit als privilegierter Benutzer / root arbeiten, und das ist einer der Gründe, warum es so viele Botnets gibt, die gemietet werden können? Oder habe ich dich falsch verstanden? Bobby vor 13 Jahren 0

6 Antworten auf die Frage

8
whitequark

Versuchen Sie, dies Ihren sudoOptionen hinzuzufügen :

Defaults timestamp_timeout=0, tty_tickets 

tty_ticketsDie Option (standardmäßig aktiviert) macht das sudoAbfragekennwort, wenn es zuvor nicht in diesem bestimmten Zeitraum (einschließlich Terminalemulatoren, ptys) abgefragt wurde, und die timestamp_timeout=0Option bewirkt, dass es während der gesamten Sitzung nicht erneut gefragt wird.

Wenn Sie also einige Verwaltungsvorgänge durchführen möchten, können Sie das Terminal öffnen, etwas öffnen, schließen und wieder sicher sein.

7
Rory Alsop

Die naheliegende Lösung für mich besteht darin, die Komplexität Ihres Passworts zu reduzieren. Sie scheinen glücklich zu sein, kein Passwort zu wählen, anstatt ein langes, komplexes Passwort. Warum also nicht diesen Mittelweg als eine gültige Option betrachten?

Wenn Ihr Gerät an ein Netzwerk angeschlossen ist, besteht die Gefahr von Kompromissen. Ohne Passwort öffnen Sie sich für opportunistische Ausnutzung, so dass selbst ein einfaches Passwort zusätzliche Sicherheit bietet.

Oder komplizierte Passwörter für alles (ein anderes anständiges Passwort für jeden Dienst / jedes Konto), und halten Sie sie in so etwas wie keepass (mit einem anständigen Passwort und / oder einer Schlüsseldatei, die den Passwortspeicher schützt) bereit. David Spillett vor 13 Jahren 2
4
ewindisch

Die sicherste Alternative zur Verwendung kein Passwort ist eine alternative Authentifizierungsmethode über PAM zu verwenden. Sie können beispielsweise einen Chipkartenleser verwenden. Sie legen einfach die Karte ein, bevor Sie 'sudo' verwenden, und entfernen Sie sie, wenn Sie fertig sind. Es gibt sogar ein PAM-Modul für die Sprachauthentifizierung. Wenn Sie kein PAM-Modul finden, das Ihnen gefällt, und Sie mit C nicht vertraut sind, gibt es Python-Bindungen.

Schauen Sie sich diese Liste der PAM-Module an .

Sehr cool, hatte davon noch nichts gehört! V_H vor 13 Jahren 0
Eine dieser Alternativen verwendet einen Fingerabdruckleser. Sie haben immer noch ein sicheres Kennwort, aber wenn Sie sich angemeldet haben, verwenden Sie den FP-Reader für sudo. alci vor 10 Jahren 0
1
user39559

Setzen Sie rootpwauf Ihre /etc/sudoers:

 Defaults rootpw 

Geben Sie rootein einfacheres Passwort als Ihr ein.

Denken Sie daran, zu verbieten, rootauf ssh, falls Sie einen installiert haben sshServer.

Wenn Ihr schreckliches Passwort Ihre Dateien schützen soll, sind sie nur dann wirklich geschützt, wenn sie verschlüsselt sind. Andernfalls handelt es sich nur um ein "Sicherheitstheater". Angenommen, dies ist der Grund, warum Sie den Großen behalten wollen, und Sie sind sicher: rootDas Kennwort zu brechen reicht noch nicht aus, um Ihre Dateien zu entschlüsseln, und jede Art von Malware bricht unsere CPU, bevor Sie das Kennwort erraten.

1
Boldewyn

Eine andere Herangehensweise an /etc/sudoersund so wäre sudo -iund bleiben root. Wenn Sie beispielsweise den GNU-Bildschirm verwenden, können Sie ein Fenster als regulärer Benutzer und ein zweites Fenster verwenden, in dem Sie den sudo -iRoot- Status festlegen und beibehalten können.

Wenn Sie ~/.screenrcso aussehen, screenöffnet Ihnen das Ausstellen automatisch zwei "Registerkarten":

hardstatus alwayslastline "%w" screen -t normal screen -t root sudo -i 
1
UberJim

In / etc / sudoers (visudo) fügen Sie eine Zeile wie folgt hinzu:

uberjim ALL = (ALL) NOPASSWD: ALL

Als Benutzer können Sie nach der Anmeldung (mit Ihrem sicheren Passwort) einfach Folgendes eingeben:

sudo /cmd/you/want/to/run 

Kein Passwort erforderlich :) Viel Spaß

Uberjim natürlich durch seinen eigenen Benutzernamen ersetzen Journeyman Geek vor 13 Jahren 2