sudo timeout

von Manfred Gipp

sudo timeout

sudo wird gerne verwendet, wenn man als normaler Benutzer Kommandos ausführen will, die nur für den Benutzer root gedacht sind.

Einfachstes Beispiel:

sudo apt update

Lädt einfach nur die neuesten Listen der Pakete herunter, damit das System weiß, was upzudaten ist.

Und wenn ich gleich hinterher

sudo apt upgrade

eingebe, dann werde ich nicht gleich wieder nach dem Passwort gefragt.

Folgende Fragen ergeben sich für mich dadurch:

  • Wird das zum Sicherheitsrisiko?
  • Warum ist das so?
  • Ab wann werde ich wieder nach dem Passwort gefragt?

Sicherheitsrisiko

Nunja. Klar ist, dass ein Timeout ganz sinnvoll ist. Solange dieser Timeout nicht abgelaufen ist, kann jeder root-Kommandos eingeben.

Ein wunderschöner Befehl:

sudo rm -rf /*

Davon sollte man tunlichst die Finger lassen. Denn der löscht quasi euer System.

Aber eben, solange der timeout nicht abgelaufen ist, könnte jeder dieses Kommando absetzen.

Warum ist das so?

Die Frage "warum" kommt an sich immer. Irgendein Programmierer hat sich gedacht, ich möchte nicht ständig das Passwort eingeben müssen, wenn ich mehrere Kommandos hintereinander als root absetzen möchte. Das ist also an sich schon sinnvoll.

Jeder kann sich entscheiden, ob er/sie das möchte oder nicht.

Timeout

Ich habe ein wenig gesucht und wenig gefunden. Es sieht so aus, als wäre der Standard 15 Minuten. Das halte ich schon für zu lange.

Wo konfiguriere ich das?

Die Datei sudoers enthält die Konfiguration für sudo. Ich empfehle aber nicht, dort direkt zu ändern. Bei den meisten Distributionen steht am Ende der sudoers Datei:

@includedir /etc/sudoers.d

Damit werden die Dateien im Verzeichnis /etc/sudoers.d eingelesen. Es macht also Sinn, in dem Verzeichnis eine solche Konfiguration anzupassen. Damit ist das an sich Updatesicher. Alle Dateien, die nicht mit ~ (tilde) enden oder einen Punkt beinhalten werden somit eingelesen. Alle Dateien in diesem Verzeichnis sollten die Berechtigung 0440 erhalten. Achtung, damit ist die Datei nicht mehr veränderbar. Vor einer Veränderung muss root die wieder als beschreibbar setzen. Ich habe deswegen die Berechtigung auf 0640 gesetzt.

Ich habe mir die Datei "timeout" in dem Verzeichnis angelegt. Die Datei enthält folgende Zeile

Defaults env_reset,timestamp_timeout=5

Damit stelle ich den Timout auf fünf Minuten. Das ist, meiner Meinung nach, vollkommen ausreichend

Zurück zur Newsübersicht

Kommentare

Einen Kommentar schreiben

Bitte rechnen Sie 3 plus 4.