«ALL ALL = (ALL) NOPASSWD: ALL» a été ajouté automatiquement dans mon fichier / etc / sudoers. Est-ce une violation de la sécurité?

9

ALL ALL=(ALL) NOPASSWD:ALLla ligne a été ajoutée automatiquement deux fois à la fin de mon /etc/sudoersfichier.

  • Mon Linux a soudainement cessé de demander un mot de passe chaque fois que j'ai exécuté une commande sudo. Cela m'a fait enquêter sur le problème.
  • Même après avoir exécuté sudo -kpour réinitialiser le délai de grâce, il ne demanderait pas mon mot de passe.
  • J'ai compris la signification de cette ligne et commenté les 2 lignes pour résoudre le problème et les choses étaient revenues à la normale.

    Mais selon mes recherches, le fichier sudoers n'est édité que manuellement et aucun moyen que j'aurais pu donner à TOUS les utilisateurs NOPASSWD autorisations pour TOUTES les commandes. Cela pourrait-il signifier qu'un script que j'ai exécuté a changé le fichier sudoers? Est-ce une source de préoccupation?

Système d'exploitation: Linux Mint 18.3 Cinnamon

security sudo Neon44
la source
4
Quiconque, ou autre, a ajouté cette ligne à sudoersdevait avoir des privilèges root pour le faire.
roaima
4
C'est certainement une source de préoccupation. Pouvez-vous lier la dernière heure de modification de / etc / sudoers à un événement (dans les journaux ou les heures de modification de certains autres fichiers)
Stéphane Chazelas
4
À long terme, mais sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /rootrenvoie-t-il autre chose que / etc / sudoers?
roaima
@roaima va sûrement essayer ça.
Neon44
1
@roaima Oh attendez! grepest également revenu /home/neon/HUAWEI-4g_Dongle/Linux/install. Je pense avoir trouvé le problème. J'avais exécuté le script d' installation pour le dongle HUAWEI 4g https://pastebin.com/e37GGKsu . C'est probablement arrivé à travers cela.
Neon44

Réponses:

9

Après avoir exécuté cette commande

sudo grep -rl 'NOPASSWD:ALL' /etc /lib /usr /var /home /root

vous avez indiqué que plusieurs fichiers correspondaient:

/etc/sudoers
/usr/lib/snapd/snapd
/var/log/auth.log
/home/neon/HUAWEI-4g_Dongle/Linux/install

On peut raisonnablement s'attendre à ce que les trois premiers de ces fichiers contiennent une correspondance et peuvent être ignorés en toute sécurité. Le quatrième, d'autre part, semble être un coupable possible et mérite une enquête plus approfondie.

En effet, votre pastebin affiche ces extraits:

SOFTWARENAME="Mobile Partner"
SOFTWARENAME=$(echo $SOFTWARENAME | sed s\#\ \#_\#g)
TEMPFILE="${SOFTWARENAME}_install_$PPID"
... 

grep -v "MobilePartner.sh" /etc/sudoers >/tmp/${TEMPFILE} 2>&1
echo -e "ALL ALL=(ALL) NOPASSWD:ALL" >> /tmp/${TEMPFILE}
...

cp -f /tmp/${TEMPFILE} /etc/sudoers

Oui, je dirais que c'est un (terrible) trou de sécurité du code de qualité assez moche.

Après avoir supprimé (ou commenté) les lignes de votre /etc/sudoersfichier, je vous recommande également de vérifier les autorisations sur ce fichier. Ils devraient être ug=r,o=( 0440= r--r-----), appartient probablement à root: root.

roaima
la source
Vérifié les autorisations de fichier 0440. Il semble que ce soit un très mauvais script d'installation fourni avec le dongle. Merci beaucoup !
Neon44
Wow, bonne idée pour grep 'NOPASSWD: ALL' / etc / lib / usr / var / home / root!
Week - end