Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
On Wed, 16 Mar 2022 20:41:17 +0100, Matthias Böttcher
<matthias.boettcher@gmail.com> wrote:
>eine Frage zu sudo: hat sich in der sudo-Konfiguration in den Defaults
>zwischen Debian 10 und 11 etwas geändert?
Das ist nicht unwahrscheinlich, immerhin war da sogar ein minor
upstream release (1.8 -> 1.9) dabei.
>Debian 11, sudo installiert, /etc/sudoers nicht angepasst:
>Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
>Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
>ohne dass eine Passwortabfrage erfolgt.
Das halte ich für "works as designed", ein leeres Passort ist ein
leeres Passwort, ein Benutzer mit einem leeren Passwort darf sich auch
ohne Passwort anmelden.
>Debian 10, sudo installiert, /etc/sudoers nicht angepasst:
>Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
>Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
>wird aber nach einem Passwort gefragt.
Das halte ich für einen Bug in der älteren Version von sudo.
>Passwort kann nie korrekt
>eingegeben werden, da es leer ist
Ein leeres Password ist ein leeres Passwort. Dass sudo 1.8 das nicht
akzeptiert könnte man als "versagen zur sicheren Seite" verstehen.
Wenn Du den Account sperren möchtest musst Du --lock verwenden.
Ich sprech mal mit Upstream.
Grüße
Marc, mit dem Hut des sudo-maintainers auf.
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: