Я хотел бы использовать другой пароль, чтобы повысить статус моего пользователя до sudo, чем пароль, который я использую для входа (либо через GUI, shell, либо SSH) в свою учетную запись. Такое возможно?
EDIT:
Поскольку установка пароля root позволит войти в систему как root,это не очень хороший способ. Я бы предпочел пользовательский пароль sudo, а не системный пароль root.
2530
от человека sudoers:
Komprootpw If set, sudo will prompt for the root password instead of the
password of the invoking user. This flag is off by default.
runaspw If set, sudo will prompt for the password of the user defined
by the runas_default option (defaults to root) instead of the
password of the invoking user. This flag is off by default.
или вы можете просто запретить логины на основе пароля через ssh полностью. Требовать пароль зашифрованный ключ для удаленного входа в систему. Тогда вы можете использовать пароль для sudo. Соответствующий параметр
от человека файл sshd_config
PasswordAuthentication
Specifies whether password authentication is allowed. The default
is “yes”.
вы ищете это вместо того, чтобы в sudoers человека?
targetpw If set, sudo will prompt for the password of the user
specified by the -u option (defaults to root) instead of the
password of the invoking user.
Как насчет отключить пароль входа через SSH и разрешить вход с открытым ключом, где вы можете установить трудно угадать пароль. Тогда локальный пароль может быть короче и использоваться sudo.
кроме этого, вам придется настроить /etc/pam.d/sudo использовать другой (или дополнительный) модуль, на первый взгляд pam_dialpass может разрешить то, что вам нужно.
вы также можете настроить конфигурацию LDAP для одного и локальные пароли для другого. Все будет зависеть от того, насколько сильно вы изменитесь способны и готовы сделать, какие модули и т. д.
Решение 1: newgrp
простой способ решения вашего варианта использования было бы использовать :NOPASSWD в сочетании с группой и командой passwd:
добавить строку в sudoers:
%rudo ALL=(ALL:ALL) NOPASSWD:ALL
создать защищенную группу passwd:
groupadd rudo
gpasswd rudo # Enter passwd
теперь, когда вы войти в систему в качестве непривилегированного пользователя (при условии, что ваш уже не в rudo группа), войдите в rudo группа, после чего вам будет предложено ввести пароль.
login user
newgrp rudo
теперь вы можете запустить sudo без пароля, пока вы остаетесь в группе.
решение 2: runaspw
лучше, возможно, более безопасный способ сделать это использует runaspw. runaspw связан с runas_default вариант, так что вы должны добавить эту опцию тоже.
предполагая, что у вас уже есть по умолчанию %sudo группа запись:
%sudo ALL=(ALL:ALL) ALL
добавить эти строки файл sudoers:
Defaults:%sudo runas_default=sudo
Defaults:%sudo runaspw
теперь добавим новый sudo пользователь с паролем:
useradd sudo -d /nonexistent -s /usr/sbin/nologin -MNr
passwd sudo
теперь пользователи группы sudo будет предложено для passwd пользователя sudo, но только пользователи в группе sudo смогут sudo (в отличие от решения группы выше, где кто-либо в группе или с группой passwd может sudo).
незначительная проблема-пользователь runas по умолчанию теперь sudo так sudo, как корень нужно явно указать root:
sudo -u root <cmd>
но достаточно легко определить псевдоним (alias sudo='sudo -u root') или косвенная команда sudo.
 |  |  |  |  |  |  |  |  |  |
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]
