일반적으로 를 실행하면 sudo처음에 비밀번호를 입력하라는 메시지가 표시되며 인증 시간이 초과될 때까지 다음 몇 분 동안 인증되었음을 기억합니다.
이로 인해 시스템 보안에 구멍이 생깁니다. 약간의 사회 공학, 악성 쉘 스크립트/Makefile 등이 결합되었습니다. sudo내부에서 실행하여 루트에 액세스할 수 있습니다.
"인증기억" 기능의 편리함을 포기하지 않으면서, 그래도 좀 더 안전한 설정이 있었으면 좋겠습니다. sudo인증정보만 기억하도록 설정할 수 있는 방법이 있나요?PID성공적으로 인증되었거나 이와 유사한 것입니까? sudo매번 인증을 요청하도록 구성할 수 있는 것으로 알고 있지만 , 보안을 위해 편의성을 포기하지 않는 방법을 생각하고 있습니다.
답변1
sudo -K신뢰하지 않는 것을 실행하기 전에 사용할 수 있습니다 .
답변2
가장 가까운 방법은 이름을 바꾸는 것입니다.sudo공격자가 모르는 이름으로 명령을 내립니다. 응, 이건모호함에 의한 보안하지만 호출할 수 있는 경우sudo그런 다음 호출할 수 있는 스크립트를 실행합니다(이름을 알고 있는 경우).