История изменений
Исправление pfg, (текущая версия) :
Проблема sudo в том, что терминал остается с правами доступа определенное время после его (судо) ввода. Если кто-то другой в этот момент получит к терминалу доступ - то все, это рут.
это удобство, к примеру когда в скрипте несколько последовательных sudo команд.
можно отключить timestamp_timeout=0 в Defaults /etc/sudoers или для конкретных пользователей.
Number of minutes that can elapse before sudo will ask for a passwd again. The timeout may include a fractional component if minute granularity is insufficient, for example 2.5. The default is 15. Set this to 0 to always prompt for a password. If set to a value less than 0 the user's time stamp will not expire until the system is rebooted. This can be used to allow users to create or delete their own time stamps via “sudo -v” and “sudo -k” respectively.
Кроме того, как тут уже неоднократно отметили, пароль от судо совпадает с паролем пользователя, что тоже не хорошо. Поэтому в дебиане судо по умолчанию нет (по крайней мере раньше не было, сейчас не уверен).
опять же удобство. простому пользователю ни в коем случае не надо знать пароль администратора.
а разумному администратору нельзя включать простого пользователя в группу sudo. только давать допуск до ограниченного набора функций, жизненно важных для данного пользователя.
тогда все ок.
Исходная версия pfg, :
Проблема sudo в том, что терминал остается с правами доступа определенное время после его (судо) ввода. Если кто-то другой в этот момент получит к терминалу доступ - то все, это рут.
это удобство, к примеру когда в скрипте несколько последовательных sudo команд.
можно отключить timestamp_timeout=0 в Defaults /etc/sudoers
Number of minutes that can elapse before sudo will ask for a passwd again. The timeout may include a fractional component if minute granularity is insufficient, for example 2.5. The default is 15. Set this to 0 to always prompt for a password. If set to a value less than 0 the user's time stamp will not expire until the system is rebooted. This can be used to allow users to create or delete their own time stamps via “sudo -v” and “sudo -k” respectively.
Кроме того, как тут уже неоднократно отметили, пароль от судо совпадает с паролем пользователя, что тоже не хорошо. Поэтому в дебиане судо по умолчанию нет (по крайней мере раньше не было, сейчас не уверен).
опять же удобство. простому пользователю ни в коем случае не надо знать пароль администратора.
а разумному администратору нельзя включать простого пользователя в группу sudo. только давать допуск до ограниченного набора функций, жизненно важных для данного пользователя.
тогда все ок.