“관리자”사용자에게는 자동으로 sudo 권한이 있습니다


17

을 사용하여 "admin"이라는 사용자를 Ubuntu 14.04LTS 서버에 추가했습니다 adduser.

/etc/sudoerssudo 권한이 필요한 새 사용자를 추가 할 때 파일에 사용자를 추가해야했지만 이번에는 그렇지 않았습니다. 쉘의 출력을 기반으로 사용자를 생성하기 전에 존재하는 'admin'사용자는 나타나지 않습니다. 왜 이런 식으로 작동 했습니까?


sudoers 파일을 수동으로 편집하는 대신 admin그룹에 추가하십시오 .
Kaz Wolfe

답변:


30

기본적으로 adduser모든 새 사용자를 사용자와 동일한 이름을 가진 그룹에 추가합니다 (그룹이없는 경우 생성됨). 따라서 사용자라는 사용자를 만들면 해당 사용자 admin가 그룹에 추가됩니다 admin.

/etc/sudoers 라인을 포함

%admin ALL=(ALL) ALL

즉, 그룹의 모든 구성원 admin이 사용할 수 sudo있으며 이는 admin사용자에게도 해당됩니다.


8
이것은 내 관점에서 "버그"또는 "보안 문제"의 정의에 속합니다. 당신이 그것을 사용자 이름으로 사용한다면 당신에게 강력한 힘을주는 마법의 문자 시퀀스가 ​​왜 있어야 하는가?
Federico Poloni

1
@FedericoPoloni는이 취약점을 악용하려는 사람에게 전화해야 adduser하지만, 이미 관리자 권한을 가지고 있음을 의미 할 것입니다 ... 여전히 버그 보고서를 추가 할 가치가 있습니다.
nico

7
@FedericoPoloni 버그가 아닙니다. 시스템은 동일한 이름으로 사용자를 자신의 그룹에 추가합니다. Joe라는 그룹으로 이동합니다 Joe. admin이라는 그룹으로 이동 admin합니다. 그러나 admin시스템 그룹입니다. 기본적으로 sudo를 사용하도록 허용 된 그룹입니다. 또한 그룹을 지정하여 admin사용자가 그룹에 들어 가지 않도록 할 수 있습니다 admin. 마지막으로 사용자라는 이름을 갖는 것은 보안 문제 admin입니다. username 사용하여 의존하는 SSH 무차별 대입 공격을 받았습니다 admin.
Kaz Wolfe

3
@Whaaaaaat, 어떤 이유로 든 게시물 끝에 사용자 이름이 표시되면 내가 말하는 모든 것에 의문을
갖게됩니다

5
한 사용자-한 그룹의 정책을 고려할 때 그룹 이름이 존재하면 (사용자 이름이 존재하는 것처럼) 예상되는 동작 (적어도 나를 위해)이 오류와 함께 구제되는 것입니다. 버그 나 적어도 예상치 못한 행동에 투표합니다.
Rmano
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.