sudo su no solicita la contraseña incluso después de cambiarla

tag-icon tag-icon ubuntu security passwords sudo
sudo su no solicita la contraseña incluso después de cambiarla

Tengo una instancia de Ubuntu en AWS.
Después de iniciar sesión ssh, pude cambiar la contraseña de root con sudo suel comando.
Por razones de seguridad, quería cambiar la contraseña de root. Entonces probé lo siguiente:

root@email:/home/ubuntu# sudo passwd root
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully
root@email:/home/ubuntu#

Después de cambiar la contraseña cuando lo intento sudo su, no me pide la contraseña.

ubuntu@email:~$ sudo su
root@email:/home/ubuntu#

Mientras que, cuando intento solo su, me solicita uno:

ubuntu@email:~$ su
Password:

¿Cómo implementar seguridad o establecer una contraseña para sudo su?

A continuación se muestran los detalles de sudoers (visudo)

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Respuesta1

Esta línea en su sudoersarchivo

#includedir /etc/sudoers.d

hace que incluya otros archivos del /etc/sudoers.d/directorio. Puede parecer que la línea está comentada pero no lo es; La directiva está #includedircon los líderes #. Uno de estos archivos incluidos probablemente establece una regla NOPASSWDque causa el problema.

Antes de cambiar algo, asegúrese de que su usuario habitual tenga una contraseña válida y no vacía. Deesta respuesta:

sudole pedirá una contraseña incluso cuando no la tenga y no aceptará una contraseña vacía.

En caso de duda, invoque passwdy establezca una nueva contraseña para su usuario habitual.

Este comando debería indicarle qué archivos necesita inspeccionar:

sudo grep -r NOPASSWD /etc/sudoers.d/

La línea que busca puede verse así:

ubuntu ALL=(ALL) NOPASSWD:ALL

Coméntalo ( # ubuntu ALL=...). Compararesta respuesta.

información relacionada