O usuário "Admin" possui automaticamente privilégios de sudo

17

Eu adicionei um usuário chamado "admin" ao meu servidor Ubuntu 14.04LTS, usando adduser.

Estou acostumado a adicionar um usuário ao /etc/sudoersarquivo ao adicionar um novo usuário que precise de privilégios de sudo, mas desta vez não precisei. Não parece que o usuário 'admin' existia antes de eu criá-lo, com base na saída do shell. Por que isso funcionou dessa maneira?

user-management privileges adduser trpt4him
fonte
Em vez de editar manualmente o arquivo sudoers, adicione-os ao admingrupo.
Kaz Wolfe

Respostas:

30

Por padrão, adduseradiciona todos os novos usuários a um grupo com o mesmo nome que o usuário (o grupo é criado se ainda não existir). Portanto, se você criar um usuário chamado, adminele será adicionado ao grupo admin.

/etc/sudoers contém a linha

%admin ALL=(ALL) ALL

o que significa que todos os membros do grupo adminpodem usar sudo- e isso também é válido para o adminusuário.

Florian Diesch
fonte
8
Isso se enquadra na definição de "bug" ou "problema de segurança", na minha opinião. Por que deveria haver uma sequência mágica de letras que fornece superpoderes se você a usa como seu nome de usuário?
Federico Poloni
1
@FedericoPoloni concorda com você, embora alguém que tente explorar isso tenha que ligar adduser, o que significa que ele já tem privilégios de administrador ... Ainda assim, vale a pena adicionar um relatório de bug, eu pensaria
nico
7
@FedericoPoloni Bug, de jeito nenhum. O sistema adiciona usuários ao seu próprio grupo com o mesmo nome. Joeentra em um grupo chamado Joe. adminpassa a entrar em um grupo chamado admin. Mas, adminé um grupo de sistemas. Por padrão, é o grupo que pode usar o sudo. Além disso, você pode especificar grupos, para que o adminusuário não entre no admingrupo. Finalmente, é um problema de segurança ter um usuário nomeado admin. Eu tive ataques de força bruta SSH contra mim, contando com o uso do nome de usuário admin.
Kaz Wolfe
3
@Whaaaaaat, por alguma razão, vendo que nome de usuário no final de suas mensagens me faz questionar tudo que você diz :)
trpt4him
5
Penso que, dada a política de um usuário - um grupo, o comportamento esperado (pelo menos para mim) é resgatar um erro se o nome do grupo existir (como ocorre se o nome do usuário existir). Eu voto no bug, ou pelo menos no comportamento inesperado.
Rmano