Wykonać sudo bez hasła?

Zainspirowany tym pytaniem ....

Jestem jedyną osobą korzystającą z mojego systemu z 12.04.
Za każdym razem wydawam sudopolecenie; system prosi o podanie hasła użytkownika (które jest dobre na swój sposób).
Jednak myślałem; bez aktywacji konta root ; jak mogę wykonać polecenia sudo, które nie będą wymagały hasła użytkownika do uwierzytelnienia.

UWAGA: Chcę wykonać polecenie sudo bez uwierzytelniania za pomocą hasła; tylko wtedy, gdy są wykonywane przez terminal.
Nie chcę usuwać tej dodatkowej warstwy zabezpieczeń z innych funkcji, na przykład podczas korzystania z „Centrum oprogramowania Ubuntu” lub wykonywania skryptu bash poprzez przeciągnięcie pliku coś.sh do terminala.

sudo -i jest właściwą drogą, jeśli nie chcesz wpisywać hasła co 10 minut podczas modyfikowania systemu (lub innych systemów) i nie chcesz modyfikować żadnych plików systemowych.

Nastąpi przełączenie na rootowanie przy użyciu sudohasła użytkownika, gdy zamkniesz konsolę lub wpiszesz exitsię w normalnego użytkownika.

Możesz skonfigurować, sudoaby nigdy nie pytać o hasło.

Otwórz okno terminala i wpisz:

sudo visudo

W dolnej części pliku dodaj następujący wiersz:

$USER ALL=(ALL) NOPASSWD: ALL

Gdzie $USERjest twoja nazwa użytkownika w twoim systemie? Zapisz i zamknij plik sudoers (jeśli nie zmieniłeś domyślnego edytora terminali (będziesz wiedział, jeśli masz), naciśnij ctl + x, aby wyjść nanoi poprosi o zapisanie).

Począwszy od Ubuntu 19.04, plik powinien teraz wyglądać mniej więcej tak

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

YOUR_USERNAME_HERE ALL=(ALL) NOPASSWD: ALL

Następnie możesz pisać sudo <whatever you want>w oknie terminala bez pytania o hasło.

Dotyczy to tylko korzystania z sudopolecenia w terminalu. Nadal pojawi się monit o podanie hasła, jeśli (na przykład) spróbujesz zainstalować pakiet z centrum oprogramowania

Limity czasu rootowania sudo są najłatwiejszym i najbezpieczniejszym sposobem na zrobienie tego. Przedstawię wszystkie przykłady, ale ostrzegam, że jest to bardzo ryzykowne, jakkolwiek to zrobisz, chociaż ten sposób jest znacznie bezpieczniejszy:

sudo visudo

Spowoduje to otwarcie edytora i skierowanie go do pliku sudoers - Ubuntu domyślnie ma wartość nano, inne systemy używają Vi. Jesteś teraz superużytkownikiem edytującym jeden z najważniejszych plików w systemie. Bez stresu!

(Szczegółowe instrukcje Vi zapisane w (vi!) . Zignoruj ​​je, jeśli używasz nano.)

Użyj klawiszy strzałek, aby przejść na koniec Defaultslinii.

(vi!) naciśnij klawisz A (wielkie „a”), aby przejść na koniec bieżącej linii i przejść do trybu edycji (dołącz po ostatnim znaku w linii).

Teraz wpisz:

,timestamp_timeout=X

gdzie X to limit czasu w minutach. Jeśli podasz 0, zawsze będziesz pytany o hasło. Jeśli podasz wartość ujemną, limit czasu nigdy nie wygaśnie. Np Defaults env_reset,timestamp_timeout=5.

(vi!) naciśnij Escape, aby powrócić do trybu poleceń. Teraz, jeśli jesteś zadowolony ze swojej edycji, wpisz, :w Enteraby zapisać plik i :q Enterwyjść z vi. Jeśli popełniłeś błąd, być może najłatwiejszym sposobem jest powtórzenie od początku, wyjście bez zapisywania (naciśnij, Escapeaby przejść do trybu poleceń), a następnie wpisz: q! Enter.

Naciśnij Ctrl+ X, a następnie Y, Enteraby zapisać plik i wyjść z nano.

Możesz przeczytać strony podręczników sudoers i vi, aby uzyskać dodatkowe informacje.

man sudoers
man vi

Zresetuj wartość limitu czasu za pomocą:

sudo -k

Te instrukcje mają usunąć monit o podanie hasła podczas korzystania z polecenia sudo. Polecenie sudo nadal będzie jednak musiało być użyte do uzyskania dostępu do roota.

Edytuj plik sudoers

Otwórz okno terminala. Wpisz sudo visudo. Dodaj następujący wiersz do END pliku (jeśli nie na końcu, można go anulować późniejszymi wpisami):

<username> ALL=NOPASSWD: ALL

Zamień na <username>swoją nazwę użytkownika (bez <>). Zakłada się, że Ubuntu utworzyło grupę o tej samej nazwie co nazwa użytkownika, co jest typowe. Możesz na przemian używać użytkowników grupy lub dowolnej innej takiej grupy, w której się znajdujesz. Upewnij się tylko, że jesteś w tej grupie. Można to sprawdzić, przechodząc do opcji System -> Administracja -> Użytkownicy i grupy.

Przykład:

michael ALL=NOPASSWD: ALL

Wpisz ^ X ( Ctrl+ X), aby wyjść. Powinno to poprosić o opcję zapisania pliku, wpisz Y, aby zapisać.

Wyloguj się, a następnie zaloguj ponownie. Powinno to umożliwić uruchomienie polecenia sudo bez pytania o hasło.

Konto root

Włączanie konta root

Włączenie konta root jest rzadko konieczne. Prawie wszystko, co musisz zrobić jako administrator systemu Ubuntu, można zrobić za pomocą sudo lub gksudo. Jeśli naprawdę potrzebujesz trwałego logowania do roota, najlepszą alternatywą jest symulacja powłoki rootowania przy użyciu następującego polecenia:

sudo -i

Jeśli jednak musisz włączyć logowanie roota, możesz to zrobić w następujący sposób:

sudo passwd root

Ponowne wyłączenie konta root

Jeśli z jakiegoś powodu włączyłeś swoje konto root i chcesz je ponownie wyłączyć, użyj następującego polecenia w terminalu:

sudo passwd -dl root

Systemowa grupa sudo

root$ echo "%sudo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

Wyloguj się, a następnie zaloguj ponownie.

Zresetuj limit czasu sudo

Możesz upewnić się, że sudo poprosi o hasło następnym razem, uruchamiając:

sudo -k

Preferowanym sposobem udzielania indywidualnych (lub grupowych) uprawnień byłoby dodawanie plików /etc/sudoers.d

To oddziela lokalne zmiany od domyślnych zasad i oszczędza czas na wypadek zmiany pliku sudoers dystrybucji.

Aby ustawić zalogowanego użytkownika jako sudoer i sudonie monitować go o hasło, użyj

echo "$USER ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/$USER

spowoduje to utworzenie pliku o nazwie /etc/sudoers.d/$USER(gdzie $USERjest nazwa użytkownika, do którego użytkownik był zalogowany, tak jak podczas uruchamiania tego polecenia), co wyjaśni, którzy użytkownicy mają uprawnienia.

Jeśli chcesz to zrobić dla innego użytkownika, po prostu zastąp oba wystąpienia $USERinną nazwą użytkownika w powyższym poleceniu.

echo "otheruser ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/otheruser

Podobnie jeden plik może służyć do zarządzania wieloma dyrektywami:

echo "username ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee -a /etc/sudoers.d/local

Zobacz /etc/sudoers.d/READMEi man sudoerswięcej informacji.

Przyjemny jeden wiersz do usuwania monitów sudo dla bieżącego użytkownika

sudo bash -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" | (EDITOR="tee -a" visudo)'

Oczywiście to, co chcesz zrobić, nie jest zalecane. Po chwili wchodzenie sudostaje się tak automatyczne, że zmniejsza się jego przydatność.

Innym podejściem jest pozostawienie pliku sudoers w niezmienionej postaci i, robiąc coś skomplikowanego dla setek setek serwerów, wejdź sudo bash. To da ci powłokę, która będzie uwierzytelniona jako root, dopóki jej nie opuścisz.

Od superużytkownika pochodzi dobra odpowiedź:

Użyj przełącznika -S, który odczytuje hasło ze STDIN:

echo <password> | sudo -S <command>

Zastąp <password>swoim hasłem.

Jedna wkładka

sudo sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g'

Jest to jedno-liniowe rozwiązanie, które zmienia również uprawnienia do plików, jak podano w /etc/sudoer.d/README:

sudo sh -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/$(logname)' & sudo chmod 440 /etc/sudoers.d/$(logname)

• Rozwijanie pomysłu @upteryx.

• W ten sposób zaimplementowałem użytkownika innego niż root, bez hasła, w efemerycznym obrazie Docker do użytku w potoku CICD:

RUN \
    groupadd -g 999 foo && useradd -u 999 -g foo -G sudo -m -s /bin/bash foo && \
    sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^root.*/root ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^#includedir.*/## **Removed the include directive** ##"/g' && \
    echo "foo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers && \
    echo "Customized the sudoers file for passwordless access to the foo user!" && \
    echo "foo user:";  su - foo -c id