Sudo ohne Passwort ausführen?

Inspiriert von dieser Frage ....

Ich bin die einzige Person, die mein System mit 12.04 benutzt.
Jedes Mal, wenn ich einen sudoBefehl erteile; Das System fragt nach dem Benutzerpasswort (was auf seine eigene Weise gut ist).
Ich dachte jedoch nach; ohne das Root- Konto zu aktivieren ; Wie kann ich die sudo-Befehle ausführen, bei denen kein Benutzerpasswort zur Authentifizierung abgefragt wird?

HINWEIS: Ich möchte den Befehl sudo ausführen, ohne mich über ein Kennwort zu authentifizieren. Nur wenn sie über das Terminal ausgeführt werden.
Ich möchte diese zusätzliche Sicherheitsebene nicht von anderen Funktionen entfernen, z. B. wenn Sie das 'Ubuntu Software Center' verwenden oder ein Bash-Skript ausführen, indem Sie die Datei something.sh auf das Terminal ziehen.

sudo -i Dies ist der richtige Weg, wenn Sie nicht alle 10 Minuten ein Kennwort eingeben möchten, während Sie Änderungen an Ihrem System (oder anderen Systemen) vornehmen, und keine Systemdateien ändern möchten.

Sie werden mit Ihrem sudoBenutzerkennwort zu root weitergeleitet , wenn Sie die Konsole schließen oder eingeben, dass Sie exitwieder zu Ihrem normalen Benutzer zurückkehren.

Sie können konfigurieren sudo, niemals nach Ihrem Passwort zu fragen.

Öffnen Sie ein Terminalfenster und geben Sie Folgendes ein:

sudo visudo

Fügen Sie am Ende der Datei die folgende Zeile hinzu:

$USER ALL=(ALL) NOPASSWD: ALL

Wo $USERist dein Benutzername auf deinem System? Speichern und schließen Sie die sudoers-Datei (wenn Sie Ihren Standard-Terminal-Editor nicht geändert haben (Sie werden wissen, ob dies der Fall ist), drücken Sie zum Beenden ctl + x nanound Sie werden zum Speichern aufgefordert).

Ab Ubuntu 19.04 sollte die Datei nun ungefähr so ​​aussehen

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

YOUR_USERNAME_HERE ALL=(ALL) NOPASSWD: ALL

Danach können Sie sudo <whatever you want>ein Terminal-Fenster eingeben, ohne nach dem Kennwort gefragt zu werden.

Dies gilt nur für die Verwendung des sudoBefehls im Terminal. Sie werden weiterhin zur Eingabe Ihres Kennworts aufgefordert, wenn Sie (beispielsweise) versuchen, ein Paket aus dem Software Center zu installieren

Root-Sudo-Timeouts sind die einfachste und sicherste Möglichkeit, dies zu tun. Ich werde alle Beispiele darlegen, aber seien Sie gewarnt, es ist sehr riskant, wie Sie dies tun, obwohl dieser Weg viel sicherer ist:

sudo visudo

Dadurch wird ein Editor geöffnet und auf die sudoers-Datei verwiesen. Ubuntu verwendet standardmäßig nano, andere Systeme verwenden Vi. Sie sind jetzt ein Superuser, der eine der wichtigsten Dateien auf Ihrem System bearbeitet. Kein Stress!

(Vi spezifische Anweisungen mit (vi!) . Ignorieren Sie diese, wenn Sie Nano verwenden.)

Verwenden Sie die Pfeiltasten, um zum Ende der DefaultsZeile zu gelangen.

(vi!) Drücken Sie die A-Taste (Großbuchstabe "a"), um sich am Ende der aktuellen Zeile zu bewegen und in den Bearbeitungsmodus zu wechseln (nach dem letzten Zeichen in der Zeile anhängen).

Geben Sie nun Folgendes ein:

,timestamp_timeout=X

Dabei steht X für das Ablaufen des Zeitlimits in Minuten. Wenn Sie 0 angeben, werden Sie immer nach dem Passwort gefragt. Wenn Sie einen negativen Wert angeben, läuft das Timeout nie ab. Eg Defaults env_reset,timestamp_timeout=5.

(vi!) Drücken Sie die Escape-Taste, um zum Befehlsmodus zurückzukehren. Wenn Sie mit der Bearbeitung zufrieden sind, geben Sie Folgendes ein, :w Enterum die Datei zu schreiben und :q Entervi zu beenden. Wenn Sie einen Fehler gemacht haben, ist es möglicherweise am einfachsten, den Vorgang von Anfang an zu wiederholen, den Vorgang ohne Speichern zu beenden (drücken, Escapeum in den Befehlsmodus zu wechseln) und dann Folgendes einzugeben: q! Enter.

Hit Ctrl+ X, dann Y, dann EnterIhre Datei und beendet nano zu speichern.

Vielleicht möchten Sie die Handbuchseiten sudoers und vi lesen, um weitere Informationen zu erhalten.

man sudoers
man vi

Timeout-Wert zurücksetzen mit:

sudo -k

Mit diesen Anweisungen entfernen Sie die Aufforderung zur Eingabe eines Kennworts, wenn Sie den Befehl sudo verwenden. Der Befehl sudo muss jedoch weiterhin für den Root-Zugriff verwendet werden.

Bearbeiten Sie die sudoers-Datei

Öffnen Sie ein Terminalfenster. Tippen Sie ein sudo visudo. Fügen Sie die folgende Zeile zum ENDE der Datei hinzu (falls dies nicht am Ende der Fall ist, kann dies durch spätere Einträge aufgehoben werden):

<username> ALL=NOPASSWD: ALL

Ersetzen Sie <username>durch Ihren Benutzernamen (ohne den <>). Dies setzt voraus, dass Ubuntu eine Gruppe mit demselben Namen wie Ihr Benutzername erstellt hat, was typisch ist. Sie können alternativ die Gruppenbenutzer oder jede andere Gruppe verwenden, in der Sie sich befinden. Stellen Sie einfach sicher, dass Sie sich in dieser Gruppe befinden. Dies kann unter System -> Administration -> Benutzer und Gruppen überprüft werden.

Beispiel:

michael ALL=NOPASSWD: ALL

Geben Sie zum Beenden ^ X ( Ctrl+ X) ein. Daraufhin wird eine Option zum Speichern der Datei angezeigt. Geben Sie zum Speichern Y ein.

Melden Sie sich ab und dann wieder an. Auf diese Weise können Sie den Befehl sudo jetzt ausführen, ohne zur Eingabe eines Kennworts aufgefordert zu werden.

Das Root-Konto

Aktivieren des Root-Kontos

Das Aktivieren des Root-Kontos ist selten erforderlich. Fast alles, was Sie als Administrator eines Ubuntu-Systems tun müssen, kann über sudo oder gksudo erfolgen. Wenn Sie wirklich eine dauerhafte Root-Anmeldung benötigen, ist die beste Alternative, eine Root-Anmeldeshell mit dem folgenden Befehl zu simulieren:

sudo -i

Wenn Sie jedoch Root-Anmeldungen aktivieren müssen , können Sie dies folgendermaßen tun:

sudo passwd root

Deaktivieren Sie Ihr Root-Konto erneut

Wenn Sie aus irgendeinem Grund Ihr Root-Konto aktiviert haben und es wieder deaktivieren möchten, verwenden Sie den folgenden Befehl im Terminal:

sudo passwd -dl root

Systemweite Gruppen-Sudo

root$ echo "%sudo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

Melden Sie sich ab und dann wieder an.

Setzen Sie das Sudo-Timeout zurück

Sie können sicherstellen, dass sudo beim nächsten Mal nach dem Kennwort fragt, indem Sie Folgendes ausführen:

sudo -k

Die bevorzugte Möglichkeit, Einzel- (oder Gruppen-) Berechtigungen zu erteilen, ist das Hinzufügen von Dateien unter /etc/sudoers.d

Dies trennt lokale Änderungen von der Standardrichtlinie und spart Zeit, falls sich die Datei des Distributions-Sudoers ändert.

Verwenden Sie, um den aktuell angemeldeten Benutzer zu einem Sudoer zu machen und ihn sudonicht zur Eingabe eines Kennworts aufzufordern

echo "$USER ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/$USER

Dadurch wird eine Datei mit dem Namen erstellt /etc/sudoers.d/$USER(wobei $USERder Benutzername des Benutzers ist, unter dem Sie angemeldet waren, als Sie diesen Befehl ausgeführt haben), um zu verdeutlichen, welchen Benutzern die Berechtigung erteilt wurde.

Wenn Sie dies für einen anderen Benutzer tun möchten, ersetzen Sie einfach beide Instanzen von $USERdurch einen anderen Benutzernamen im obigen Befehl.

echo "otheruser ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/otheruser

Ebenso kann eine Datei zum Verwalten mehrerer Anweisungen verwendet werden:

echo "username ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee -a /etc/sudoers.d/local

Siehe /etc/sudoers.d/READMEund man sudoersfür weitere Informationen.

Netter Einzeiler zum Entfernen von Sudo-Eingabeaufforderungen für den aktuellen Benutzer

sudo bash -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" | (EDITOR="tee -a" visudo)'

Natürlich wird nicht empfohlen, was Sie tun möchten. Nach einer Weile wird das Betreten sudojedoch so automatisch, dass seine Nützlichkeit abnimmt.

Ein anderer Ansatz ist, die sudoers-Datei so zu belassen wie sie ist, und gleichzeitig etwas Kompliziertes mit Ihren zig hundert Servern zu tun sudo bash. Dadurch erhalten Sie eine Shell, die als root authentifiziert wird, bis Sie sie beenden.

Vom Super User kommt eine gute Antwort:

Verwenden Sie den -S-Schalter, der das Passwort von STDIN liest:

echo <password> | sudo -S <command>

Ersetzen Sie <password>durch Ihr Passwort.

Einzeiler

sudo sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g'

Dies ist eine einzeilige Lösung, die auch die Dateiberechtigungen ändert, wie in den /etc/sudoer.d/READMEfolgenden Abschnitten angegeben :

sudo sh -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/$(logname)' & sudo chmod 440 /etc/sudoers.d/$(logname)

• Erweiterung der @ upteryx-Idee.

• So habe ich den Benutzer ohne Root-Kennwort in ein kurzlebiges Docker-Image für die Verwendung in einer CICD-Pipeline implementiert:

RUN \
    groupadd -g 999 foo && useradd -u 999 -g foo -G sudo -m -s /bin/bash foo && \
    sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^root.*/root ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^#includedir.*/## **Removed the include directive** ##"/g' && \
    echo "foo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers && \
    echo "Customized the sudoers file for passwordless access to the foo user!" && \
    echo "foo user:";  su - foo -c id