Die sudo-Berechtigung läuft während des apt-get-Upgrades nicht ab

Beachten Sie Folgendes: Sie geben ein $sudo apt-get upgradeund erhalten eine Liste der Dinge, die aktualisiert werden müssen, mit der Bestätigung "J \ n". Bevor Sie die Liste lesen und "Y" oder "n" eingeben können, klingelt das Telefon oder Ihr Chef kommt herein oder Sie tun etwas anderes. Sie kommen eine Stunde später zurück und drücken Y, um Updates zu installieren.

Sie werden nicht erneut zur Eingabe eines Passworts aufgefordert. Vermutlich werden weitere Sudo-Befehle in der Shell ausgeführt, da der Timer gehalten wurde und auf die Benutzereingabe gewartet hat. Oder ein Benutzer kann den Aktualisierungsprozess abbrechen und so etwas tun sudo -iund einfach unbegrenzt im Stammverzeichnis bleiben.

Ich benutze Ubuntu Mate 14.04

Ist dies eine bemerkenswerte Sicherheitsausnahme? Sollte ich versuchen, es irgendwo zu melden? Wenn ja, wo?

Sie werden nicht zur Eingabe eines Kennworts aufgefordert, da sudodie Aufgabe erledigt und apt-getals Root gestartet wurde . Während der Eingabeaufforderung wird der apt-getProzess noch ausgeführt. Da er weiterhin als Root ausgeführt wird, müssen Sie Ihr Kennwort nicht erneut eingeben.

Mit anderen Worten, solange ein sudoEd-Prozess ausgeführt wird, werden Sie nicht aufgefordert, Ihr Kennwort für diesen Prozess erneut einzugeben. sudoUnterbricht den Vorgang nicht alle 15 Minuten (Standardzeitlimit) und fragt nach Ihrem Passwort.

Nun, wenn Sie ein anderes Terminal zu öffnen waren und versuchen Sie einen anderen Prozess unter laufen sudo, dann Sie werden nach Ihrem Passwort gefragt werden.

sudoDie Standardvariable timestamp_timeoutist 15 Minuten. Wenn Sie also sudo apt-get upgradeinnerhalb von 15 Minuten auf n klicken , können Sie damit rechnen, die Root-Shell mit zu betreten sudo -i. Genau das ist passiert. Wenn Sie setzen jedoch, dass in /etc/sudoersso Default timestamp_timeout 0, wird es Ihnen jedes Mal aufgefordert. Persönlich habe ich es auf 3 gesetzt. Wenn Ihr Sudo auch nach 15 Minuten keine Zeitüberschreitung aufweist, stimmt etwas ernsthaft mit Ihrer sudoBinärdatei nicht.

Dieses Verhalten ist keine Sicherheitslücke, sondern eine "Komfortfunktion" für die Sudo-Benutzer. Ich kann jedoch zustimmen, dass für eine strengere Sicherheit die timestamp_timeoutZeit auf viel weniger als 15 Minuten eingestellt werden muss.

Hinweis : Mit der passwd_timeoutOption, die ich in meinem Kommentar erwähnt habe, wird die Kennwortabfrage tatsächlich abgelaufen, wenn Sie x Minuten lang kein Kennwort eingeben. Das ist einer der schönen Momente, in denen Sie erkennen, dass Sie man sudoersviel genauer lesen sollten .

Ich würde vorschlagen, dass Sie sudo apt-get upgrade && exitdies eingeben, um das Terminal nach Abschluss des Upgrades zu verlassen. Wenn das Upgrade abgebrochen wird, wird das Terminal nicht geschlossen, aber ich denke, das wird nicht der Fall sein.