sudo envoie des alertes ennuyeuses: problème avec les entrées par défaut

20

tl; dr

Sudo provoque des alertes supplémentaires et inutiles de "problème avec les entrées par défaut"

L'environnement

Serveur Ubuntu 16.04 LTS, sudo 1.8.16

Le problème

Chaque fois qu'un utilisateur (utilisateur authentifié sssd-ad, utilisateur local ou root) utilise sudo , cela fonctionne. Cependant, il envoie également à l'administrateur un e-mail inutile:

host1.example.com : Jun  6 14:40:44 : root : problem with defaults entries ; TTY=pts/2 ; PWD=/root ; 

Il n'y a plus d'entrées par défaut! Je les ai supprimés lors de mon dépannage. J'ai essayé de les laisser entrer. Ils étaient d'ailleurs:

Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

Je ne trouve pas le problème! J'ai supprimé toutes mes directives sudoers supplémentaires, et sudo (à partir de la racine) renvoie toujours l'erreur!

Comment puis-je empêcher sudo de m'envoyer des e-mails inutiles?

bgStack15
la source

Réponses:

35

Solution

Ce problème est dû au fait que sudo recherche des directives dans un endroit où il ne les trouve pas: sss. Vérifiez le fichier /etc/nsswitch.conf et modifiez l'entrée sudoers.

sudoers:        files sss

Le sss ne devrait pas être là. Le paquet sssd-ad s'y ajoute, mais très peu d'environnements stockent les directives sudoers dans sss. Il est beaucoup plus probable que vos directives soient locales, vous devriez donc avoir une entrée de fichier / etc / nsswitch comme celle-ci:

sudoers:        files

Les références

Un utilisateur de RHEL6 avait le même problème. https://bugzilla.redhat.com/show_bug.cgi?id=879633
Le problème est résoluble, y compris sur Ubuntu 16.04 https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1249777
https: / /bgstack15.wordpress.com/2016/06/06/solve-sudo-sending-useless-emails-problem-with-defaults-entries/

bgStack15
la source
2
Et si sudoers:n'est pas présent du /etc/nsswitch.conftout? (Non sssdinstallé ...)
Gert van den Berg
4

Sachez que la solution acceptée ne se chargera de fermer les e-mails que lorsque vous n'utilisez pas réellement les capacités sudoers de sssd.

Il contourne le problème jusqu'à la prochaine mise à jour de sssd-ad, et il recommencera à être envoyé à la prochaine mise à jour. Je crois que les packagers cherchent à résoudre ce bourdonnement de directives nsswitch.

Lorsque vous souhaitez utiliser les entrées sudoers d'AD / freeIPA, lisez la suite:

Lorsque vous avez un véritable fournisseur en amont pour les directives sudo, vous devez définir ceci:

$ grep -A 1 "[sssd]" /etc/sssd/sssd.conf
[sssd]
services = nss, sudo, pam, ssh

Cela n'empêchera malheureusement pas l'envoi de messages pendant l'installation de freeipa-client. J'y travaille toujours. Si je trouve quelque chose, je vais ajouter ici

Quattro
la source
1
J'ai rencontré la même erreur et j'utilise FreeIPA. Comme vous le mentionnez, la solution acceptée n'est pas réalisable si vous avez besoin de sudoers pour travailler avec des utilisateurs FreeIPA non locaux. Dans mon cas, un service systemd appelait sudo (en tant que root) pour changer d'utilisateur, et cela s'est produit avant que le service de recherche d'utilisateurs NSS ne soit en cours d'exécution. J'ai ajouté ceci à la section Unité du dossier de service et il semble avoir résolu le problème pour mon cas:After=sssd.target nss-user-lookup.target
cherdt