localhost в sudoers
Нет никакого шанса внутренней атаки, таким образом, я хотел бы дать sudo полномочия пользователям в локальном компьютере с помощью sudoers. Я попробовал эти строки отдельно:
%admin localhost=(ALL) NOPASSWD: ALL
%admin 127.0.0.1=(ALL) NOPASSWD: ALL
Но sudoers не кажется, распознают также localhost или 127.0.0.1.
Существует ли альтернатива, и если так, насколько безопасный это было бы? Удаленный взломщик мог получить полномочия локального пользователя с помощью крона или некоторого другого метода?
1 ответ
%admin ALL=(ALL) NOPASSWD: ALL
Список хоста ограничивает правило sudo хостами, на которых один сетевой интерфейс имеет имя или адрес в списке. Так как каждый хост имеет петлевой интерфейс, каждый хост должен соответствовать Вашему правилу; на самом деле sudo пропускает петлевой интерфейс при проверке списков хоста, таким образом, никакой хост действительно не соответствует правилу; так или иначе указывая хост как localhost не полезно.
Sudo не делает никакой сетевой аутентификации: список хоста там так, чтобы можно было развернуть сингл sudoers файл на нескольких машинах и дает пользователям различные полномочия на различных машинах.
Крон также не делает никакой сетевой аутентификации. Удаленный пользователь получил бы полномочия пользователя через неправильно сконфигурированный или уязвимый сетевой сервер или клиент (http, ftp, самба, nfs, snmp, ssh, …).