Debian 11 alatt sudoers nopasswd nem működik

UNIX haladó

Sziasztok!

Adott az alábbi sor a sudoers fájlban: felhasznalo ALL=(ALL)NOPASSWD:/usr/sbin/rndc reload

Debian 10 alatt működik, jelszó kérés nélkül újratölti a bind9 beállításait. Most migrálok egy másik gépre, amire már Debian 11-et telepítettem. visudo-val szerkesztettem a fájlt, újra is indítottam a gépet (állítólag nem kell, automatikusan életbe lép a változás), ezek ellenére kéri a jelszót. Amit neten találtam, az alapján működnie kellene ennek így. Nem tudom, hogy volt-e valami változás ami miatt már nem így kell megadni Debian 11 alatt?

Tud valaki segíteni?

  • 453 megtekintés

( Raynes v | 2022. 03. 06., v – 19:01 )

Elvileg mindegy lenne, de az (ALL) és NOPASSWD: után tegyél be egy szóközt, hátha.

Ha esetleg nem sikerülne megoldani, tegyed fel a doas-t (néha opendoas néven fut a csomag), azt könnyebben konfigurálni, és kevésbé bugos.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( rascy | 2022. 03. 06., v – 20:02 )

Szerintem próbáld meg lehagyni a reload paramétert a végéről és csak "...:/usr/sbin/rndc" legyen.
Ha mindenképpen meg akarod szabni hogy csak reload legyen, akkor egy külön script-be tedd és csak a script futtatására adj engedélyt.

( rooney | 2022. 03. 06., v – 20:14 )

Szerkesztve: 2022. 03. 06., v – 20:15

felhasznalo ALL=(ALL) NOPASSWD:/amit/szeretnel

 

(kell a space)

A visudo biztosan lefut? Mert ha az hibát észlel, akkor nem menti a sudoers-t. Illetve biztosan, hogy nem maradt az adott sor kikommentelve, vagy később a sudoers fájlban nincs egy másik szabály, ami véletlenül üti password-öt kérve? Mert az könnyen meglehet ám, hogy csak benézel egy # jelet, vagy egy másik sudo szabály később egy egész csoportra vagy ALL-ra módosítást tesz, és belekerül az a felhasználód is, akinek jelszőnélküli sudo-t akarsz adni.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( asdPro | 2022. 03. 06., v – 22:50 )

sudo -l mit mond? Továbbá /etc/sudo.conf vagy /etc/sudoers.d alatt nincs valami gyanús? Ha más nem a sudo.conf-ba engedélyezd a debug logot és kiderül.

( szazol | 2022. 03. 07., h – 13:12 )

Esetleg nincs egy masik sor ez alatt ami mondjuk engedelyezi az osszes parancsot mint pl: ALL=(ALL:ALL) ALL?

A man suders-ben benne van, hogy az utolso match-et fogja hasznalni:
 

When multiple entries match for a user, they are applied in order.  Where there are multiple matches, the last match is used (which is not necessarily the most specific match)

Ja, ahogy előre lehetett látni. A jövőben ajánlom, hogy előbb mentsd el a /etc/sudoers fájlt, és törölj ki belőle mindent az @includedir /etc/sudoers.d soron kívül, így kikerül belőle minden komment, korábbi szabály, és tiszta lappal indítasz, áttekinthetőbb lesz az egész. Plusz a szintaxisa is elég nem felhasználóbarát, elég egy karaktert, % vagy # jelet, szóközt, le nem zárt zárójelet benézni, és nem fog menni, ráadásul visszajelzést se ad, hogy na, te hülye barom, félreírtál valamit, mi a hiba, csak azon kapja magát az ember, hogy nem működik. Az annyira nyilvánvaló félreírásokat a visudo script (ez nem csak vi-t tud használni, hanem az EDITOR env-ben lévő bármilyíen szövegszerkesztőt) kiszűri, de csak minimálisan, nem mindet.

Sajnos ezek az ősrégi linuxos és unixos toolok nem felhasználóbarátak, nem megbocsátóak, egyáltalán nem hülyebiztosak. Valamit benéz az ember, és bőgés lesz a vége, pl. dd-nél elnézi valaki a /dev/akármi nevet, és beszántja egy fontos partícióját, vagy pl. velem már nem egyszer megesett, hogy chown, vagy chmod rekurzív kiadását (-R kapcsoló) félregépeltem, és tönkretette az egész jogosultságokat a /-től kezdve, pl. most 1 hete a sudo chmod -x -R parancsot a ./ mappára (azaz jelenlegi mappára) akartam kiadni, de véletlenül /. formában gépeltem be fordítva, erre szétcseszte megint az egész fájlrendszert, amit sikerült helyrehozni, de nem kis szopás volt. Persze vannak már ezeknek a parancsoknak --preserve-root kapcsolói, de nem defaultként. Oltári nagyokat lehet szopni, irgalmatlan könnyű benézni. Olvastam másoktól, akik HDD-n adták ki rosszul felparaméterezve a hdparm parancsot, ami low level firmware szinten eszközöl módosításokat, és az egész meghajtót téglásították, még firmware frissítéssel sem lehetett helyrehozni. Ezek veszélyes toolok, nagyon kell tudni mit csinál az ember.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”