Wie aktiviere ich die kennwortlose Auflistung von Sudo-Berechtigungen („sudo -l“), ohne „sudo -l“ ​​zu /etc/sudoers hinzuzufügen?

tag-icon tag-icon linux debian sudo
Wie aktiviere ich die kennwortlose Auflistung von Sudo-Berechtigungen („sudo -l“), ohne „sudo -l“ ​​zu /etc/sudoers hinzuzufügen?

Ich möchte, dass alle Benutzer ihre Berechtigungen anzeigen können sudo, ohne ihr Kennwort einzugeben.

Gibt es eine Möglichkeit, dies zuzulassen, ohne ALL ALL=(ALL) NOPASSWD: /usr/bin/sudo -lhinzuzufügen /etc/sudoers?

bob@cad50ee0931e:/$ sudo -l

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for bob:

Antwort1

Die Dokumentation zur sudoersDatei ( man sudoers) bietet diese Vorschläge

Standardmäßig sudoist erforderlich, dass sich ein Benutzer authentifiziert, bevor er einen Befehl ausführt. [...] Wenn das NOPASSWDTag angewendet wird aufbeliebigder Einträge für einen Benutzer auf dem aktuellen Host, kann er oder sie sudo -lohne Passwort arbeiten. Dieses Verhalten kann über die [...]- listpwOptionen außer Kraft gesetzt werden.

Und

listpwDiese Option steuert, wann ein Kennwort erforderlich ist, wenn ein Benutzer sudodie -lOption ausführt. Sie hat die folgenden möglichen Werte:

  • all- Alle Einträge des Benutzers sudoersfür den aktuellen Host müssen das NOPASSWDFlag gesetzt haben, um die Eingabe eines Passworts zu vermeiden
  • always- Der Benutzer muss zur Nutzung der -lOption immer ein Passwort eingeben.
  • any– Mindestens ein Eintrag des Benutzers sudoersfür den aktuellen Host muss das NOPASSWDFlag gesetzt haben, um die Eingabe eines Passworts zu vermeiden.
  • never- Der Benutzer muss zur Nutzung der -lOption nie ein Passwort eingeben.

Angenommen, Sie möchten vermeiden NOPASSWD, würden Sie Folgendes festlegen listpw=never:

Defaults listpw=never

Verwenden Sie visudoes, um die Datei zu bearbeiten und zu überprüfen sudoers(Tipp: verwenden Sie es, wenn Sie es zum Bearbeiten des vi` EDITOR=nano visudoverwenden möchten ). Besser noch: Halten Sie während des Tests eine andere Root-Shell geöffnet, damit Sie den Zugriff nicht verlieren.nanosudoers file instead of

Leider scheint es, dassein Fehler insudo, welches istbehoben in 1.8.28, kann die listpw=neverEinstellung ignorieren. In diesem Szenariodarf nichtverwenden listpw=never, sondern stattdessen einen ansonsten bedeutungslosen Eintrag wie diesen erstellen

ALL ALL=(ALL) NOPASSWD: /bin/false

Das Nettoergebnis sollte sein, dass sudo -ldies auf diejeder Eintrag hatNOPASSWDRegel und Sie werden Ihre Anforderung erreichen.

verwandte Informationen