Пользователь «Admin» автоматически имеет права sudo


17

Я добавил пользователя с именем «admin» на свой сервер Ubuntu 14.04LTS, используя adduser.

Я привык добавлять пользователя в /etc/sudoersфайл при добавлении нового пользователя, которому нужны права sudo, но на этот раз я этого не сделал. Похоже, что пользователь 'admin' существовал до того, как я его создал, основываясь на выводе в оболочке. Почему это работает так?


Вместо того, чтобы вручную редактировать файл sudoers, добавьте их в adminгруппу.
Каз Вулф

Ответы:


30

По умолчанию adduserкаждый новый пользователь добавляется в группу с тем же именем, что и пользователь (группа создается, если она еще не существует). Поэтому, если вы создадите пользователя с именем, adminон будет добавлен в группу admin.

/etc/sudoers содержит строку

%admin ALL=(ALL) ALL

Это означает, что всем членам группы adminразрешено использовать sudo- и это верно и для вашего adminпользователя.


8
Это подпадает под определение «ошибка» или «проблема безопасности», на мой взгляд. Почему должна быть волшебная последовательность букв, которая дает вам суперспособности, если вы используете ее в качестве имени пользователя?
Федерико Полони

1
@FedericoPoloni согласен с вами, хотя кому-то, пытающемуся воспользоваться этим, придется позвонить adduser, что означает, что у него уже есть права администратора ... Тем не менее, стоит добавить отчет об ошибке, я думаю
nico

7
@FedericoPoloni Ошибка, совсем нет. Система добавляет пользователей в свою группу с таким же именем. Joeвходит в группу по имени Joe. adminслучается идти в группу по имени admin. Но, adminэто системная группа. Это группа по умолчанию разрешено использовать sudo. Также вы можете указать группы, чтобы adminпользователь не входил в adminгруппу. Наконец, это проблема безопасности, когда пользователь имеет имя admin. У меня были SSH атаки грубой силы против меня, полагаясь на то, что я использовал имя пользователя admin.
Каз Вулф

3
@Whaaaaaat, по какой-то причине, увидев, что имя пользователя в конце ваших сообщений заставляет меня задавать вопросы обо всем, что вы говорите :)
trpt4him

5
Я думаю, что, учитывая политику одного пользователя - одной группы, ожидаемое поведение (по крайней мере, для меня) состоит в том, чтобы выручить с ошибкой, если имя группы существует (как это происходит, если имя пользователя существует). Я голосую за ошибку или, по крайней мере, за непредвиденное поведение.
Rmano
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.