Normalerweise sudowerde ich beim ersten Ausführen aufgefordert, ein Kennwort einzugeben. Meine Authentifizierung wird dann für die nächsten paar Minuten gespeichert, bis die Authentifizierung abläuft.
Dies hinterlässt eine Lücke in der Systemsicherheit. In Verbindung mit etwas Social Engineering könnte sudodarin ein bösartiges Shell-Skript/Makefile/usw. ausgeführt werden und Zugriff auf den Root-Zugriff erhalten.
Ohne auf die Bequemlichkeit der Funktion „Authentifizierung speichern“ zu verzichten, hätte ich trotzdem gerne ein sichereres Setup. Gibt es eine Möglichkeit, sudodie Authentifizierung nur für diepiddas erfolgreich authentifiziert wurde, oder etwas Ähnliches? Ich weiß, dass Sie es so konfigurieren können, sudodass jedes Mal eine Authentifizierung angefordert wird, aber ich denke an etwas, bei dem die Sicherheit nicht auf Kosten der Bequemlichkeit geht.
Antwort1
Sie können es verwenden sudo -K, bevor Sie etwas ausführen, dem Sie nicht vertrauen.
Antwort2
Am nächsten kommen Sie diesem Ziel durch die Umbenennung vonsudoBefehl auf einen Namen, den die Angreifer nicht kennen. Ja, das istSicherheit durch Unklarheit, aber wenn Sie anrufen könnensudoAnschließend wird ein Skript ausgeführt, das Sie aufrufen können (sofern es seinen Namen kennt).