Alterar o tempo limite padrão da senha do sudo

18

Quando eu executo sudoe insiro minha senha, uma chamada subseqüente sudodentro de alguns minutos não precisará ser redigitada.

Como posso alterar o tempo limite padrão para exigir a senha novamente?

sudo Tom Hale
fonte

Respostas:

28

man sudoers diz:

Depois que um usuário for autenticado, [...] o usuário poderá usar o sudo sem senha por um curto período de tempo (5 minutos, a menos que seja substituído pela timestamp_timeoutopção).

Para alterar o tempo limite, execute sudo visudoe adicione a linha:

Defaults        timestamp_timeout=30

onde 30está o novo tempo limite em minutos.

Para sempre exigir uma senha, defina como 0. Para definir um tempo limite infinito, defina o valor como negativo.

Para desativar totalmente o prompt para uma senha para o usuário ravi:

Defaults:ravi      !authenticate
Tom Hale
fonte
3

Você precisa editar / etc / sudoers. Para aqueles que não usam o vi, você deve editar este arquivo (em alguns tipos de Linux) com um comando terminal como este:

sudo EDITOR=gedit visudo

Em seguida, adicione ou altere timestamp_timeout:

# After authenticating, this is the amount of time after which
# sudo will prompt for a password again in the same terminal
Defaults    timestamp_timeout=30
Qwertie
fonte
A maneira correta de evitar viseria definir a $EDITORvariável para outra coisa. A idéia de visudonão é ligar vi, mas impedir que as pessoas bloqueiem a si mesmas (e qualquer outra pessoa dependendo de sudo) da sua rootconta 1) copiando /etc/sudoerspara um arquivo temporário, 2) chamando $EDITOResse arquivo, 3) executando uma verificação de sintaxe arquivo e 4), eventualmente, substituir /etc/sudoerscom a versão atualizada.
Andreas Wiese
visudoA documentação da empresa diz o seguinte: "Normalmente, o visudo não respeita as variáveis ​​de ambiente VISUAL ou EDITOR, a menos que contenham um editor na lista de editores acima mencionada" - e a lista é padronizada apenas vi, enquanto permite que qualquer editor seja considerado uma falha de segurança. Mas posso confirmar que sudo EDITOR=gedit visudofunciona na minha caixa do CentOS 7.2. A verificação de sintaxe fornecida é certamente uma coisa boa.
precisa saber é o seguinte
Ah, sim, obrigado pelo (mais) esclarecimento, eu perdi isso. Mas no IIRC, você também pode alterar o editor padrão por sudoerssi só - apenas para o registro. Tenho certeza que a verificação de sintaxe informa. ;)
Andreas Wiese
3

sudo visudo é modificar o arquivo de configuração padrão diretamente, mas no arquivo tem sugestão abaixo

Por favor, considere adicionar conteúdo local em /etc/sudoers.d/ em vez de modificar diretamente esse arquivo.

Então, melhor maneira é

cd /etc/sudoers.d
sudo visudo -f user_name

Adicione o conteúdo

Defaults timestamp_timeout=(number)

(number)é o novo tempo limite em minutos .

timestamp_timeout (man 5 sudoers)

O número de minutos que pode decorrer antes do sudo solicitará uma senha novamente. O tempo limite pode incluir um componente fracionário se a granularidade minuto for insuficiente, por exemplo 2.5. O padrão é 15. Defina como 0 para sempre solicitar uma senha. Se definido como um valor menor que 0, o registro de data e hora do usuário não expirará até que o sistema seja reiniciado. Isso pode ser usado para permitir que os usuários criem ou excluam seus próprios carimbos de data / hora via "sudo -v" e "sudo -k", respectivamente.

Salve o arquivo pressionando Ctrl+ Oe pressione entere saia usando Ctrl+ X.

Key Shang
fonte