放浪者のユーザーにとって、パスワードなしのsudoはどのように実現されますか?

1
2018.03.20

私は混乱しています。これは/etc/sudoersです:

 [email protected]:~$ sudo cat /etc/sudoers                                                                                                                                                                      
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

vagrantユーザーのパスワードなしのsudoはどのように実現されますか?

vagrantユーザーはsudoグループにも含まれていません。

 [email protected]:~$ id -a
uid=1000(vagrant) gid=1000(vagrant) groups=1000(vagrant)

そして、予想通り、sudoグループに他のユーザーを追加すると、パスワードの入力を求められます。

 [email protected]:~$ sudo ls
[sudo] password for user1: 
回答
2
2022.01.05

私は、CentOS 7に精通している「標準的な」場所にいなくても、放浪者のユーザーがどのようにsudoを実行できるかについて同じ疑問を抱いていました。

しかし、Debianの「bulleye」にあなたは/etc/sudoers.d/READMEで次のREADMEを持っているボックス

Debianのバージョン1.7.2p1-1のとおり、パッケージのインストール時に作成されるデフォルト/etc/sudoersファイルは現在のディレクティブが含まれます。

 #includedir /etc/sudoers.d

これは、~で終わるか、.の文字が含まれていない/etc/sudoers.dディレクトリ内のファイルを読み込み、解析するためにsudoを引き起こします。

sudoers.dディレクトリに少なくとも1つのファイルが必要であり(これで十分です)、このディレクトリ内のすべてのファイルはモード0440である必要があることに注意してください。

また、sudoersの内容は大きく異なる可能性があるため、アップグレード時に既存のsudoersファイルにこのディレクティブを追加する試みは行われないことにも注意してください。必要に応じて、上記のディレクティブを/ etc / sudoersファイルの最後に追加して、既存のインストールでこの機能を有効にしてください。

最後に、visudoコマンドを使用すると、多くの障害モードから保護されるため、sudoersコンテンツを更新するための推奨される方法であることに注意してください。詳細については、visudoのためのmanページを参照してください。