タグ付けされた質問 「sudo」

今日、sudoを実行する別のユーザーとして実行中の画面が機能しないことがわかりました！ すなわち ssh bob@server # ssh into server as bob sudo su "monitor" - screen # fails: Cannot open your terminal '/dev/pts/0' 「モニター」ユーザーとして実行するスクリプトがあります。出力を画面に表示するために、スクリーンセッションで実行します。問題は、自分のアカウント（ボブ、ジェームズ、スージーなど）でログインするユーザーが多数いることです。その後、「モニター」ユーザーにsudoします。「モニター」ユーザーへのアクセスを許可することは問題外です。

167 sudo  gnu-screen 

sudoRHEL（Fedora、CentOSなど）またはUbuntuディストリビューションでパスワードなしのアクセスを設定するにはどうすればよいですか？（ディストリビューション間で同じ場合、さらに良いです！） 設定：不正アクセスの心配のない個人用および/または実験室/トレーニング機器（つまり、デバイスは非パブリックネットワーク上にあり、すべてのユーザーは完全に信頼されており、デバイスの内容は「プレーンバニラ」です） 。

156 linux  password  sudo 

私は私のsshキーを使ってログインすることができますその中に、サーバAを持っていると私が「sudoの秀- otheruser」能力を持っている場合は、ENV変数が削除されているので、私は、キーの転送を失うとソケットは、私の元のユーザーによってのみ読み取り可能です。「sudo su-otheruser」を介してキー転送をブリッジできる方法はありますか。そのため、転送されたキー（私の場合はgit cloneとrsync）を使用してサーバーBで処理を行うことができますか？ 私が考えることができる唯一の方法は、他のユーザーと「ssh otheruser @ localhost」のauthorized_keysにキーを追加することですが、それは私が持つすべてのユーザーとサーバーの組み合わせに対して行うのは面倒です。 要するに： $ sudo -HE ssh user@host (success) $ sudo -HE -u otheruser ssh user@host Permission denied (publickey).

153 ssh  sudo  forwarding  ssh-agent  agent 

ansibleを使用して、既存のサーバーのグループを管理したいと思います。ansible_hostsファイルを作成し-K、単一のホストのみをターゲットとするコマンドで（オプションを使用して）正常にテストしました ansible -i ansible_hosts host1 --sudo -K # + commands ... 私の問題は、各ホストのユーザーパスワードが異なることですが、Ansibleでこれを処理する方法が見つかりません。 を使用すると-K、前もって単一のsudoパスワードの入力を求められるだけで、プロンプトなしで後続のすべてのホストで試行されるようです。 host1 | ... host2 | FAILED => Incorrect sudo password host3 | FAILED => Incorrect sudo password host4 | FAILED => Incorrect sudo password host5 | FAILED => Incorrect sudo password これまでの研究： StackOverflowの質問 1つの間違った答え（「を使用して-K」）と『私はパスワードなしsudoを必要と分かった』と言っ作者つの応答 Ansible docs。「パスワードなしのsudoを使用すると自動化が容易になりますが、必須ではありません」（エンファシス鉱山） このセキュリティStackExchangeの質問は、読み取りとしてNOPASSWD必要なものです …

108 security  sudo  ansible 

私は過去数ヶ月にわたってLinux（Fedora 10、11）を取り上げてきました（そしてそれを大いに楽しんでいます。コンピューターを何度も発見するようなもので、学ぶべきことがたくさんあります）。 以下に示すように、ユーザーを/ etc / sudoersファイルの最後の行に追加したので、sudoコマンドを実行するときにパスワードの入力を求められません。 MyUserName ALL =（ALL）NOPASSWD：ALL これで、sudoを使用してコマンドを実行するたびに、タスクを実際に実行する前にかなりの時間（〜10秒）一時停止します。これはなぜなのか、どうすれば修正できるのか？Fedora 11 x86 64でSudoバージョン1.7.1を実行しています。

83 linux  permissions  sudo 

ユーザー名（myuser）でしかログインできないシステムがありますが、他のユーザー（scriptuser）としてコマンドを実行する必要があります。これまでのところ、必要なコマンドを実行するために次のことを考え出しました。 ssh -tq myuser@hostname "sudo -u scriptuser bash -c \"ls -al\"" ただし、より複雑なコマンドを実行しようとする[[ -d "/tmp/Some directory" ]] && rm -rf "/tmp/Some directory"と、クォートですぐに問題が発生します。渡すコマンドの境界が既に区切られているbash -c場合、この複雑なコマンド例をにどのように渡すことができるの\"かわかりません（したがって、スペースを含む/ tmp / Someディレクトリを引用する方法がわかりません）。 クォートがどれほど複雑/クレイジーであっても、コマンドを渡すことができる一般的な解決策はありますか、これは私が到達した何らかの制限ですか？他の可能性のある、おそらくより読みやすいソリューションはありますか？

80 ssh  bash  scripting  sudo 

以下の行をコメントアウトしたくありません/etc/sudoers。 Defaults requiretty 代わりに、特定のユーザーにttyを要求しないようにします。これをどのように行うことができますか？

78 sudo 

管理者が個人のユーザー名を介してサーバーにログインし、実行sudo -iしてルートになることは企業ポリシーです。を実行するとsudo -i、sudoはと呼ばれる環境変数を作成しSUDO_USERます。これには、元のユーザーのユーザー名が含まれます。 次の構文に似た何かでsyslog内のすべてのコマンドを記録する方法はありますか？ ${TIME/DATE STAMP}: [${REAL_USER}|${SUDO_USER}]: ${CMD} エントリの例は次のとおりです。 Sat Jan 19 22:28:46 CST 2013: [root|ksoviero]: yum install random-pkg 明らかに上記の構文である必要はなく、最低限の実ユーザー（例：root）、sudoユーザー（例：ksoviero）、および実行された完全なコマンド（例：yum）を含める必要があります。 random-pkgをインストールします）。 すでに試しましたsnoopyが、SUDO_USER変数は含まれていません。

71 centos  bash  logging  sudo 

キーを介してサーバーにアクセスするというアイデアが大好きです。そのためssh、ボックスに毎回パスワードを入力する必要がなく、ユーザーの（ロックではなくroot）パスワードをロックすることもpasswd -l usernameできるため、キーなしでログインすることはできません。 しかし、sudoコマンドのパスワードを入力する必要がある場合、これらはすべて壊れます。そのため、パスワードなしでログインできるように、パスワードなしでsudoセットアップしたいと思っています。 しかし、予期せぬ方法で私に逆火を起こすかもしれないという直感を持ち続けています。そのような設定に注意点はありますか？サーバー上のユーザーアカウントに対してこれを行うことを推奨/推奨しませんか？ 明確化 sudoここでは、サービスや管理スクリプトではなく、対話型ユーザーセッションでの使用について説明しています。 クラウドサーバーの使用について話している（したがって、マシンへの物理的なローカルアクセス権がなく、リモートでしかログインできない） sudoパスワードの再入力が不要なタイムアウトが設定されていることは知っています。しかし、私のコンサートは、実際にパスワードを物理的に入力するための余分な時間を無駄にすることではありません。しかし、私の考えは、パスワードをまったく処理する必要がないことでした。 暗記しなければならない場合、短すぎて安全にしたり再利用したりできない リモートアカウント用に長くて一意のパスワードを生成する場合、それをどこかに保存し（ローカルパスワードマネージャープログラムまたはクラウドサービス）、使用するたびに取得する必要がありますsudo。私はそれを避けたいと思いました。 そのため、この質問で、ある構成のリスク、注意事項、トレードオフを他の構成よりもよく理解したかったのです。 フォローアップ1 すべての回答ではsudo、個人ユーザーアカウントが侵害された場合、「簡単な」特権の昇格が可能になるため、パスワードレスは安全ではないと述べています。という事は承知しています。しかし、一方で、パスワードを使用すると、パスワードにすべての古典的なリスクが生じます（短すぎるまたは共通の文字列、異なるサービス間で繰り返されるなど）。しかし、パスワード認証を無効に/etc/ssh/sshd_configしてログイン用のキーが必要な場合は、入力しsudoやすいように単純なパスワードを使用できますか？それは有効な戦略ですか？ フォローアップ2 rootssh経由でログインするキーもある場合、誰かがコンピューターにアクセスしてキーを盗むと（OSのキーリングパスワードで保護されます！）、rootアカウントに直接アクセスできる可能性があります、sudoパスをバイパスします。その場合、rootアカウントにアクセスするためのポリシーは何ですか？

58 linux  security  password  sudo 

特定のユーザーがそのアカウントのパスワードを知らなくても別のユーザーアカウントにsuできるようにしますが、他のユーザーアカウント（つまり、root）へのアクセスは許可しません。 たとえば、DBAのトムにoracleユーザーへのsuを許可しますが、tomcatユーザーまたはrootには許可しません。 これは/ etc / sudoersファイルでできると思います-可能ですか？もしそうなら、どのように？

53 linux  security  sudo 

Linuxシステムでのリモートサポート、トラブルシューティング、および/またはパフォーマンスチューニングを提供するという奇妙な要求を時々受けます。 大企業では、ベンダー/サプライヤーにリモートアクセスを提供するための手順が確立されていることがよくあり、それらに準拠する必要があるだけです。（良くても悪くても。） 一方、小さな会社や個人は、私を立ち上げるために何をする必要があるかを常に教えてくれるよう常に頼りにしています。通常、サーバーはインターネットに直接接続されており、既存のセキュリティ対策は、Linuxディストリビューションが何であれ、デフォルトで構成されています。 ほとんどの場合、ルートレベルのアクセスが必要になりますが、アクセスを設定する人はシステム管理者ではありません。ルートパスワードは必要ありません。また、自分のアクションが悪意のあるものではないと確信していますが、次のような合理的な簡単な指示を与える必要があります。 アカウントを設定し、資格情報を安全に交換します ルート（sudo）アクセスをセットアップする アカウントへのアクセスを制限する 監査証跡を提供する （はい、悪意のあるアクションを非表示にする管理者アクセス権を持っていると、クライアントに常に警告しますが、監査証跡の作成に非表示にして積極的に参加するものは何もないと仮定しましょう。） 以下の手順で何を改善できますか？ 私の現在の命令セット： アカウントを設定し、資格情報を安全に交換します パスワードハッシュを提供し、その暗号化されたパスワードでアカウントがセットアップされていることを確認します。そのため、クリアテキストパスワードを送信する必要はありません。パスワードを知っているのは私だけです。予測可能な脆弱なパスワード。 sudo useradd -p '$1$********' hbruijn 私は公開鍵SSH（クライアントごとに特定の鍵ペア）を提供し、彼らにその鍵で私のアカウントをセットアップするよう依頼します： sudo su - hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys ルート（sudo）アクセスをセットアップする クライアントにsudo sudoedit、お気に入りのエディターを使用して、または追加してsudoをセットアップし、以下に追加するよう依頼します/etc/sudoers。 hbruijn ALL=(ALL) ALL アカウントへのアクセスを制限する 通常、クライアントは引き続きパスワードベースのログインを許可/etc/ssh/sshd_configし、少なくともアカウントをSSHキーのみに制限するために、次の2行を追加するように依頼します。 Match user hbruijn …

51 linux  security  sudo  root  audit 

sudoersファイルとcron構成ファイルは、Linuxの他の構成ファイルと比較して特別な方法で動作することに気付きました。テキストエディタではなく、特別なラッパーで編集する必要があります。どうしてこれなの？

51 linux  security  unix  configuration  sudo 

通常のユーザーアカウントは、たとえばuser1です。私はuser1としてxにログインしている間に実行したいが、user1データへの読み取り/書き込みアクセスを防ぐ方法で、xアプリケーション用に別のuser2を作成しました。このアプリケーションを実行するために、user1からuser2にxauthとsudo / suを使用できると思いました。どうすればいいですか？xauthの構成方法がわかりません。

48 linux  sudo 

私はこれを得る： Macintosh:8.4 TAmoyal$ su Password: su: Sorry Macintosh:8.4 TAmoyal$ sudoに使用するパスワードを入力しました。なぜこれが機能しないのですか？ ありがとう！

41 mac-osx  sudo 

PostgreSQLユーザーはデフォルトでUNIXソケットでピア認証を行います。UNIXユーザーはPostgreSQLユーザーと同じでなければなりません。したがって、人々は頻繁に使用するsuかsudo、postgresスーパーユーザーになります。 次のような構造を使用している人をよく見ます。 sudo su - postgres のではなく sudo -u postgres -i そして、なぜだろうか。同様に、私は見た： sudo su - postgres -c psql の代わりに sudo -u postgres psql なし大手あなたはせずに、古いプラットフォームにあった場合のバージョンはいくつかの意味になるだろう。しかし、なぜ未定のUNIXまたはLinuxで使用するのでしょうか？sudosusudosudo su

36 postgresql  shell  sudo  su