L'utilisateur "Admin" dispose automatiquement des privilèges sudo

17

J'ai ajouté un utilisateur nommé "admin" à mon serveur Ubuntu 14.04LTS, en utilisant adduser.

Je suis habitué à devoir ajouter un utilisateur au /etc/sudoersfichier lors de l'ajout d'un nouvel utilisateur qui a besoin des privilèges sudo, mais cette fois je ne l'ai pas fait. Il ne semble pas que l'utilisateur «admin» existait avant de le créer, en fonction de la sortie dans le shell. Pourquoi cela a-t-il fonctionné de cette façon?

trpt4him
la source
Au lieu de modifier manuellement le fichier sudoers, ajoutez-les au admingroupe.
Kaz Wolfe

Réponses:

30

Par défaut, adduserajoute chaque nouvel utilisateur à un groupe portant le même nom que l'utilisateur (le groupe est créé s'il n'existe pas déjà). Donc, si vous créez un utilisateur appelé, adminil sera ajouté au groupe admin.

/etc/sudoers contient la ligne

%admin ALL=(ALL) ALL

ce qui signifie que tous les membres du groupe adminsont autorisés à utiliser sudo- et cela est également vrai pour votre adminutilisateur.

Florian Diesch
la source
8
Cela relève de la définition de "bug" ou "problème de sécurité" à mon avis. Pourquoi devrait-il y avoir une séquence magique de lettres qui vous donne des super pouvoirs si vous l'utilisez comme nom d'utilisateur?
Federico Poloni
1
@FedericoPoloni est d'accord avec vous, même si quelqu'un qui tente d'exploiter cela devrait appeler adduser, ce qui signifierait qu'il a déjà des privilèges d'administrateur ... Pourtant, cela vaut la peine d'ajouter un rapport de bogue, je pense
nico
7
@FedericoPoloni Bug, pas du tout. Le système ajoute des utilisateurs à leur propre groupe avec le même nom. Joeva dans un groupe nommé Joe. adminarrive à entrer dans un groupe nommé admin. Mais, adminc'est un groupe système. C'est le groupe par défaut autorisé à utiliser sudo. En outre, vous pouvez spécifier des groupes, afin que l' adminutilisateur n'entre pas dans le admingroupe. Enfin, c'est un problème de sécurité d'avoir un utilisateur nommé admin. J'ai eu des attaques par force brute SSH contre moi en comptant sur mon utilisation du nom d'utilisateur admin.
Kaz Wolfe
3
@Whaaaaaat, pour une raison quelconque, voir ce nom d'utilisateur à la fin de vos messages me fait remettre en question tout ce que vous dites :)
trpt4him
5
Je pense qu'étant donné la politique d'un utilisateur - un groupe, le comportement attendu (au moins pour moi) est de renflouer avec une erreur si le nom du groupe existe (comme il le fait si le nom d'utilisateur existe). Je vote pour le bug, ou du moins pour un comportement inattendu.
Rmano