Как сделать sudo su с паролем?

Question

[Anton B]

Доброй ночи!

Недавно стал использовать sudo...

Установил sudo, создал пользователя neroot и добавил его в группу sudo, отключил в ssh root-доступ.
Сижу через neroot, выполняю все команды через sudo, когда очень надо войти под root, пишу su и ввожу root-пароль.

... для меня сегодня стало откровением, что войти под root можно написав команду sudo su, не вводя root-пароля.

Вопросы:
1. Нормально ли такое поведение sudo или это дыра в безопасности?
2. Если такое поведение нормально, зачем тогда вообще sudo, только лишнее неудобство себе создавать?
3. Стоит ли закрыть sudo su без root-пароля, как это сделать?

Спасибо.

Answer 1

[Дмитрий]

Рекомендую почитать: rus-linux.net/nlib.php?name=/MyLDP/BOOKS/ubuntu_ha...
Надо или не надо использовать sudo su решать вам, но эту дыру лучше закрыть, сконфигурировав /etc/sudoers.
И лучше настроить так: sudo пользователям(для выполнения ограниченного набора действий), а su — администраторам(для предоставления дополнительных прав)
А что бы сделать sudo su без пароля:
В /etc/sudoers добавить:
%user ALL=(ALL) NOPASSWD: ALL
где user — имя пользователя или группа, для которых редактируются привелегии.
После этого комманда sudo su - будет выполняться без запроса пароля.

Comments

[Anton B]

Мне как раз нужно убрать возможность из под любого пользователя введя команду sudo su без пароля войти как root. Вопрос: как это сделать? Вот мои настройки, что были по умолчанию

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

[Дмитрий]

Anton B:
можно так:
но на самом деле в /etc/sudoers много настроек, вот в догонку еще статья: debiania.blogspot.com/2009/03/sudo-debian-gnulinux...

Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root ALL=(ALL: ALL) PASSWD: ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

sudo su - без пароля не работает

[Anton B]

спасибо вам