"ALL ALL = (ALL) NOPASSWD: ALL" foi adicionado automaticamente no meu arquivo / etc / sudoers. Isso é uma violação de segurança?

9

ALL ALL=(ALL) NOPASSWD:ALLa linha foi adicionada automaticamente duas vezes no final do meu /etc/sudoersarquivo.

  • Meu linux de repente parou de pedir uma senha toda vez que eu executava um comando sudo. Isso me fez investigar o problema.
  • Mesmo depois de executar sudo -kpara redefinir o tempo de cortesia, ele não solicita minha senha.
  • Eu descobri o significado dessa linha e comentei as 2 linhas para corrigir o problema e as coisas voltaram ao normal.

    Mas, de acordo com minhas pesquisas, o arquivo sudoers é editado apenas manualmente e de jeito nenhum eu poderia ter concedido a todos os usuários permissões NOPASSWD para todos os comandos. Isso poderia significar que um script que eu executei alterou o arquivo sudoers? Isso é motivo de preocupação?

Sistema Operacional: Linux Mint 18.3 Cinnamon

security  sudo 
Neon44
fonte
4
Quem quer que tenha acrescentado essa linha sudoersprecisa ter privilégios de root para fazê-lo.
roaima 16/08/18
4
Isso certamente é motivo de preocupação. Você pode amarrar no último tempo de modificação do arquivo / etc / sudoers para algum evento (em toras ou horas de modificação de alguns outros arquivos)
Stéphane Chazelas
4
Tiro no escuro, mas sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /rootretorna algo diferente de / etc / sudoers?
roaima 16/08
@roaima certamente tentará isso.
precisa saber é o seguinte
1
@roaima Oh espera! greptambém retornou /home/neon/HUAWEI-4g_Dongle/Linux/install. Acho que encontrei o problema. Eu havia executado o script de instalação do dongle HUAWEI 4g https://pastebin.com/e37GGKsu . Provavelmente aconteceu com isso.
precisa saber é o seguinte

Respostas:

9

Depois de executar este comando

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

você recomendou que vários arquivos correspondessem:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

Pode-se esperar que os três primeiros desses arquivos contenham uma correspondência e podem ser ignorados com segurança. O quarto, por outro lado, parece ser um possível culpado e precisa de mais investigações.

De fato, seu pastebin mostra esses trechos:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

Sim, eu diria que é uma (terrível) falha de segurança causada por um código de qualidade bastante ruim.

Após remover (ou comentar) as linhas do seu /etc/sudoersarquivo, também recomendo que você verifique as permissões nesse arquivo. Eles devem ser ug=r,o=( 0440= r--r-----), provavelmente de propriedade root: root.

roaima
fonte
Verificou as permissões do arquivo 0440. Parece que foi um script de instalação muito ruim que veio com o dongle. Muito obrigado !
precisa saber é o seguinte
Uau, boa ideia para grep 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
Fim de semana
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.