이 sudo
명령은 내가 입력한 비밀번호를 일시적으로 기억하므로 매번 다시 입력할 필요가 없습니다. 를 사용하여 이 "세션"을 삭제할 수 있다는 것을 알고 있습니다 sudo -k
.
이제 ssh를 통해 로그인한 후 sudo를 실행하지 않고 로그아웃하면 sudo -k
sudo 비밀번호 재입력 시간이 초과되기 전에 내 계정에 액세스한 사람이 비밀번호를 입력하지 않고 sudo를 사용할 수 있나요? 아마도 다른 의사 터미널을 사용하기 때문에 새 SSH 세션을 열 때 작동하지 않는다는 것을 알고 있지만 다른 접근 방식이 있을 수 있습니다.
가능하다면 어떻게 해야 합니까?
답변1
일반적으로 말하면, 그렇습니다. 자신이 로그아웃하고 다른 사람이 로그인하면 sudo 세션을 재사용할 수 있습니다.너처럼같은 터미널에서.문서에서 찾을 수 있듯이, sudo는 때때로 이를 감지하고 거부하지만 항상 그런 것은 아닙니다.
누군가가 귀하로 로그인하면 게임이 거의 중단됩니다. 그들은 귀하의 계정에 백도어를 심을 수 있으며, 최악의 경우 공격자는 귀하의 암호를 도용하고 다음에 귀하가 sudo를 사용할 때 귀하의 sudo 액세스 권한을 악용할 수 있습니다. 그래서 “이 문제를 해결하기 위해 무엇을 할 수 있습니까?”에 대한 대답은 다음과 같습니다. "아무것도 하지 않음"에 대한 대답이고 더 중요한 것은 "내가 무엇을 해야 하는가?"에 대한 대답입니다. 아무것도”라고 말하더라도 위협이 더 악화되지는 않습니다.
답변2
적어도 Linux 및 OS X 시스템에서는 로그아웃 후에 캐시된 타임스탬프가 저장되지 않습니다.
대답은 거짓말man sudoers
, in 대신에 man sudo
이것이 내가 처음에 찾지 못한 이유입니다.
타임스탬프 파일은 파일 시스템에 존재하므로 사용자의 로그인 세션보다 오래 지속될 수 있습니다. 따라서 타임스탬프 파일의 수정 시간이 5분 이내(또는 제한 시간이 설정되어 있음)이면 사용자는 로그인하여 인증 후 sudo로 명령을 실행하고 로그아웃한 후 다시 로그인하여 인증 없이 sudo를 실행할 수 있습니다. sudoers). tty_tickets 옵션이 활성화되면 타임스탬프는 tty별로 세분성을 가지지만 여전히 사용자 세션보다 오래 지속될 수 있습니다. devpts 파일 시스템을 사용하는 Linux 시스템, 장치 파일 시스템을 사용하는 Solaris 시스템 및 Mac OS Stamps와 같은 기타 시스템에서는 파일이 더 이상 사용되지 않고 무시됩니다. 이 기능은 일반적으로 사용할 수 없으므로 관리자는 이 기능에 의존해서는 안 됩니다.
답변3
sudo
각 터미널 세션의 비밀번호를 기억하십시오. 로그아웃하더라도(직접 로그아웃했거나 어떤 이유로 세션이 종료되었기 때문에) 문제가 없습니다.
유일한 문제는 screen
사용 중인 세션 일 수 있습니다 sudo
.
하지만 문제가 걱정된다면 sudo
비밀번호를 캐시하지 않도록 간단히 구성할 수 있습니다.