ここではいくつかあるの指示あなた無効にする方法についてはsudoパスワードが。これらには次の警告があります
sudoアカウントのパスワードを無効にすると、コンピューターのセキュリティが著しく損なわれます。無人でログインしているアカウントにいる人は誰でも完全なrootアクセス権を持ち、悪意のあるクラッカーにとってリモートからのエクスプロイトがはるかに簡単になります。
私のマシンに人が物理的にアクセスすることを心配していません。この警告を無視してパスワードを無効にすると、どのリモートエクスプロイトが可能または簡単になりますか?
回答:
パスワードなしのsudoを許可すると、ユーザーとしてマシン上でコードを実行する管理者はだれでも、rootとしてコードを簡単に実行できます。これは、ログインしているがコンピュータの前ではないときにコンソールを使用する人である可能性があり、心配する必要はありません(とにかく、物理的にアクセスできる人はほとんど何でもできます)。これは、自分のマシンにsshした別のマシンのアカウントにアクセスする人にもなり得ます。しかし、リモートセキュリティホールを悪用する人もいます。たとえば、ブラウザのバグを悪用してブラウザインスタンスにコードを挿入するWebサイトなどです。
それはどれくらい大きいですか?それほど多くはありませんが、いくつかの理由があります。
一方:
sudoのパスワードは次の2つのことからしか保護できないと思います。
rm -rf、以前とは異なるディレクトリでシェル履歴からの相対パスを使用して実行するなど)sudoてシステムを呼び出し、システムを傷つけようとします(ただし、この種の悪意のあるソフトウェアは非常に人気があるとは思いません)必要に応じてNOPASSWD、システムを傷つけない選択されたコマンド(エディターまたはサービスの再起動)にのみオプションを使用し、他のコマンドのパスワードを保持できます。
有能な組織の中には、多くの異なるリモートホストにログインする必要のあるユーザーがいる場合、特にセキュリティレベルの異なるホストが含まれている場合に、パスワードなしのsudoを好むものがあることに注意してください。
パスワードを入力する際の問題は、リモートシステムに定期的にパスワードを与えていることです。SSHを使用する理由の1つは、まさにそのようなセキュリティホールを避けるためです。トレードオフの問題です。セッションまたはキーを侵害した攻撃者がルートアクセスを達成できる可能性を減らすために、ユーザーのパスワードが侵害される可能性を高めています。特に、次のシナリオを想像してください。
私が説明してきたシナリオでは、パスワードなしsudoはあり増やし、ユーザーのパスワードを保護することにより、セキュリティを。これは、インターネットで一般的になっているパスワード再利用攻撃に似ていますが、パスワードの実際の再利用ではなく統合認証システムに起因する脆弱性を除きます。
あなたが巨大な会社にいない限り、パスワード付きのsudoはおそらくセキュリティを向上させますが、必ずしも大した量ではありません。あなたが本当にシステムセキュリティの専門家であるか、それが特に価値のあるホストでない限り、私はあなたがそれを残すことを勧めます。