Обычно, когда я запускаю sudo, он просит меня ввести пароль в первый раз и запоминает, что я аутентифицирован, на следующие несколько минут, пока не истечет время аутентификации.
Это оставляет дыру в безопасности системы. В сочетании с небольшой долей социальной инженерии вредоносный скрипт оболочки/Makefile/и т. д. может запуститься sudoвнутри нее и получить доступ к root.
Не отказываясь от удобства функции "запомнить аутентификацию", я все равно хотел бы иметь более безопасную настройку. Есть ли способ настроить sudoзапоминание аутентификации только дляпидчто аутентификация прошла успешно, или что-то подобное? Я знаю, что можно настроить sudoзапрос аутентификации каждый раз, но я думаю о чем-то, что не жертвует удобством ради безопасности.
решение1
Вы можете использовать его sudo -Kперед запуском чего-либо, чему вы не доверяете.
решение2
Самое близкое, что вы могли бы сделать, это переименоватьсудокоманду на имя, которое нападающие не знают. Да, этобезопасность через неизвестность, но если вы можете вызватьсудозатем скрипт запускается, и вы можете его вызвать (если он знает свое имя).