debian sudo timestamps_timeout [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : debian sudo timestamps_timeout

linuxhanz

30.11.04, 14:23

Hallo,

ich versuche mit einer Zeile wie

den sudo timeout auf 0 zu setzen, damit die Benutzer ihr Passwort jedes mal neu
eingeben muessen.

DIe stamps unter /var/run/sudo habe ich geloescht.

Mache ich "sudo ls" kommt allerdings keine Passwortabfrage.

% less /etc/sudoers
# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

# Host alias specification

# Cmnd alias specification

# disable sudo cache, 0 will ask for a pass the next time
Defaults timestamp_timeout=0

# User privilege specification
root ALL=(ALL) ALL
hanz ALL=(ALL) ALL

gibt es eine sudo option die overrides verhindert?
ich nutze Sudo version 1.6.6.

EDIT:

habe die Loesung sudo -V gibt aus:
Users in this group are exempt from password and PATH requirements: sudo

Und es gibt eine Gruppe sudo.
Und das schone ist, man kann den timestamp_timeout benutzerspezifisch anpassen :-)

cane

30.11.04, 15:02

nice2know :)

cane

linuxhanz

30.11.04, 15:12

nice2know :)

cane

Es wird noch besser :D

Mit

Defaults authenticate,timestamp_timeout=0,exempt_group=""

enabled man fuer die sudo Gruppe wieder das Passwort.

cane

30.11.04, 15:22

Du hast also

Defaults authenticate,timestamp_timeout=0,exempt_group="sudo"

zu

Defaults authenticate,timestamp_timeout=0,exempt_group=""

gemacht?

linuxhanz

30.11.04, 16:09

ja die gruppe sudo rausgeschmissen, damit fuer sie auch ein passwort erforderlich ist.
/etc/group beinhaltet aber sehr wohl eine gruppe sudo mit allen mitgliedern.
diese mitglieder sind deckungsgleich mit denen in /etc/sudoers.

nur bei root bin ich mir nicht sicher. root braucht kein sudo zu root , kann
aber sudo -u user machen und sollte evtl. aus privacy gruenden auch ein
benutzer-passwort vorgesetzt bekommen.

man kann sudo auch das root passwort oder ein beliebiges passwort
abfragen lassen.

aber ich wuerde immer eine 2 rootshell offenhaben. ;)

linuxhanz

01.12.04, 14:50

Jetzt nochmal eine Frage an die Experten.

Das ist mir erst später nochmal aufgefallen.
Irgendwann , als ich mir die /var/run/sudo/*
angesehen habe, hatten die alle timestamps aus
dem Jahr 1985.

Ist das normal? hng.

Merkt sich sudo auf diese Weise, wer kein
Passwort braucht?

EDIT: Loesung /etc/init.d/sudo [anhang]

aus /etc/init.d/sudo

% touch test; ls -l test
-rw-r--r-- 1 hz hz 52 Dec 10 18:41 test
hz005[~]
% touch -t 198501010000 test; ls -l test
-rw-r--r-- 1 hz hz 52 Jan 1 1985 test