通常,當我運行時sudo,它會要求我第一次輸入密碼,並且它會記住我在接下來的幾分鐘內經過了身份驗證,直到身份驗證逾時。
這給系統的安全留下了漏洞。再加上一些社會工程、惡意 shell 腳本/Makefile/等。可以sudo在其中運行並獲得 root 權限。
在不放棄「記住身份驗證」功能的便利性的情況下,我仍然希望有一個更安全的設定。有沒有辦法設定sudo只記住身份驗證PID驗證成功,或類似的東西?我知道您可以配置sudo為每次都要求身份驗證,但我正在考慮一些不會放棄安全性便利的方法。
答案1
您可以sudo -K在運行任何您不信任的內容之前使用。
答案2
最接近的方法就是重新命名須藤命令攻擊者不知道的名稱。對,這就是默默無聞的安全,但是如果你可以調用須藤然後一個腳本運行,您可以調用它(如果它知道它的名稱)。