Pengguna "Admin" secara otomatis memiliki hak sudo

17

Saya menambahkan pengguna bernama "admin" ke server Ubuntu 14.04LTS saya, menggunakan adduser.

Saya terbiasa harus menambahkan pengguna ke /etc/sudoersfile ketika menambahkan pengguna baru yang membutuhkan hak akses sudo, tapi kali ini saya tidak. Tampaknya pengguna 'admin' tidak ada sebelum saya membuatnya, berdasarkan output di shell. Mengapa ini bekerja seperti ini?

user-management privileges adduser trpt4him
sumber
Alih-alih secara manual mengedit file sudoers, tambahkan mereka ke admingrup.
Kaz Wolfe

Jawaban:

30

Secara default addusermenambahkan setiap pengguna baru ke grup dengan nama yang sama dengan pengguna (grup dibuat jika belum ada). Jadi, jika Anda membuat pengguna yang dipanggil adminitu akan ditambahkan ke grup admin.

/etc/sudoers berisi garis

%admin ALL=(ALL) ALL

yang berarti bahwa semua anggota grup admindiizinkan untuk menggunakan sudo- dan itu juga berlaku untuk adminpengguna Anda .

Florian Diesch
sumber
8
Ini termasuk dalam definisi "bug" atau "masalah keamanan" dalam pandangan saya. Mengapa harus ada urutan huruf ajaib yang memberi Anda kekuatan super jika Anda menggunakannya sebagai nama pengguna Anda?
Federico Poloni
1
@FedericoPoloni setuju dengan Anda, meskipun seseorang yang mencoba mengeksploitasi ini harus menelepon adduser, yang berarti ia sudah memiliki hak istimewa admin ... Tetap saja, layak untuk menambahkan laporan bug yang saya pikir
nico
7
@FedericoPoloni Bug, tidak sama sekali. Sistem menambahkan pengguna ke grup mereka sendiri dengan nama yang sama. Joemasuk ke grup bernama Joe. adminkebetulan pergi ke grup bernama admin. Tetapi, adminadalah kelompok sistem. Ini adalah grup yang secara default diizinkan menggunakan sudo. Anda juga dapat menentukan grup, sehingga adminpengguna tidak masuk ke admingrup. Akhirnya, masalah keamanan untuk memiliki nama pengguna admin. Saya mengalami serangan brute-force SSH terhadap saya dengan mengandalkan saya menggunakan nama pengguna admin.
Kaz Wolfe
3
@Whaaaaaat, untuk beberapa alasan, melihat nama pengguna di akhir posting Anda membuat saya mempertanyakan semua yang Anda katakan :)
trpt4him
5
Saya pikir mengingat kebijakan satu pengguna - satu grup, perilaku yang diharapkan (setidaknya bagi saya) adalah untuk menyelamatkan dengan kesalahan jika nama grup ada (seperti halnya jika ada nama pengguna). Saya memilih bug, atau setidaknya perilaku yang tidak terduga.
Rmano