sudo가 캐시 된 명령을 실행하기위한 비밀번호는 얼마나 걸립니까?

23

로 루트 권한이 필요한 명령을 실행 sudo하면 현재 사용자의 비밀번호를 입력하라는 메시지가 표시됩니다. 그 후 잠시 동안와 같은 종류의 명령을 실행 sudo하면 암호를 다시 묻지 않습니다. 암호가 만료 될 때까지 어딘가에 캐시된다고 생각합니다. 이 만료 시간은 얼마나 걸립니까? 구성 할 수 있습니까?

sudo password timestamps

— 메이 삼
소스

1

참고로을 사용하여 만료를 연장하라는 메시지를 표시 할 수 있습니다 sudo -v. 이것은 sudo 명령을 실행하는 스크립트 맨 위에 놓아두면 처음에 암호를 묻는 메시지를 표시하는 데 좋습니다.

— valbaca

참고 sudo는 실제로 비밀번호를 캐시하지 않습니다. Sudo는 실제로 작업을 수행하기 위해 비밀번호가 전혀 필요하지 않으며 사용자가 주어진 명령을 실행할 수 있는지 확인하기 만하면됩니다. 기본적으로 사용자 자격 증명을 일정 기간 동안 (특별한 "타임 스탬프", 최상위 답변 참조) 캐시하여 사용자가 자신을 다시 확인할 필요가 없습니다. 비밀번호 자체는 웹 브라우저 또는 암호화 키와 달리 캐시 (저장)되지 않습니다.

— Anthony

20

man 5 sudoers옵션이 있음을 알려줍니다 timestamp_timeout.

timestamp_timeout
sudo가 다시 passwd를 요청하기 전에 경과 할 수있는 시간 (분)입니다. 시간 초과는 미세한 입도가 충분하지 않은 경우 분수 성분을 포함 할 수 있습니다 (예 : 2.5). 기본값은 5입니다. 항상 암호를 묻는 메시지를 표시하려면이 값을 0으로 설정하십시오. 0보다 작은 값으로 설정하면 사용자의 타임 스탬프가 만료되지 않습니다. 이를 통해 사용자는 "sudo -v"및 "sudo -k"를 통해 각각 고유 한 타임 스탬프를 만들거나 삭제할 수 있습니다.

예,를 통해 구성 할 수 있으며 /etc/sudoers기본적으로 5 분 후에 만료됩니다.

— 울리히 슈바르츠
소스

4

아시다시피, 구성 visudo을 편집 하는 데 사용 하고 직접 sudo편집 /etc/sudoers하지 마십시오 .

— Carlos Campderrós

2

@ CarlosCampderrós : 맞습니다. 그리고 (가능한 경우) 항상 다른 루트 쉘을 안전한 곳에 두십시오. :)

— Ulrich Schwarz

7

구성에 따라 다릅니다. 대부분의 배포 (및 소스)의 기본값은 5 분이지만의 timestamp_timeout옵션으로 변경할 수 있습니다 /etc/sudoers. 보낸 사람 man sudoers:

sudo가 다시 passwd를 요청하기 전에 경과 할 수있는 시간 (분)입니다. 시간 초과는 미세한 입도가 충분하지 않은 경우 분수 성분을 포함 할 수 있습니다 (예 : 2.5). 기본값은 5입니다. 항상 암호를 묻는 메시지를 표시하려면이 값을 0으로 설정하십시오. 0보다 작은 값으로 설정하면 사용자의 타임 스탬프가 만료되지 않습니다. "sudo -v"및 "sudo -k"를 통해 사용자가 자신의 타임 스탬프를 만들거나 삭제할 수 있도록하는 데 사용할 수 있습니다.

예를 들어, 사용자에 대한 제한 시간을 설정 chris에 다음을 추가, 20 분 /etc/sudoers, 또는 파일에 /etc/sudoers.d이 파일에서 규칙의 순서 양 : (주 및 확인이 실수에 의해 무시되지 않았는지 확인 이러한 파일 문제의 순서를 나중에 실행되는 규칙) :

Defaults:chris timestamp_timeout=20

— 크리스 다운
소스