Отключение запроса пароля sudo Ubuntu 22.04

Имя пользователя без ошибок?

Если после этой записи есть другие, например для группы, к которой принадлежит пользователь, то они переопределяют вашу запись.

Т.е., она или должна быть последней или лучше отключить запрос пароля правилом для админской группы к которой принадлежит пользователь.

Спасибо, дело было в том, что после моей строки было переопределение для sudo. Добавил строчку после и всё взлетело.

username ALL=(ALL) NOPASSWD: ALL

это всё равно что сидеть под рутом, теперь зловред сможет заразить этот пк по самое UEFI

Делать такое лучше для отдельно взятых программ, которым нужны права рута для работы, но которые не могут навредить. Пример:

%wheel ALL=(ALL:ALL) NOPASSWD: /usr/bin/cpupower

всё взлетело

Ждем тему «Я ничего не делал и всё упало»

Ждем тему «Я ничего не делал и всё упало»

С одной стороны и правда безобразие. А с другой прекрасно понимаю автора, парольку по каждому чиху вбивать запарно. У самого на обоих тачках вбитие пароля отключено, здоровье дороже. Если какой-нибудь особо одарённый правонарушитель и украдёт мою прелесть мои данные, то это будет похоже на кулстори о том, как у мужика в трамвае спёрли спичечный коробок с анализами.

sudo не от того делают, чтобы данные не спёрли, а чтобы ты, дурак, себе нечаянно систему не снёс.

Тут естественным образом всплывает тема о том, что в современных домах квартирные замки не нужны, потому что на входе консьерж, а вор любой замок вскроет бесшумно в пределах трех минут. Но вот что-то не наблюдаю я такой открытости.

Надо такие вещи добавлять отдельными файлами в /etc/sudoers.d Править основной конфиг не стоит, лишние неудобства при обновлениях.

Аналогия некорректна. Ввод пароля пои использовании sudo может защитить разве что от какой-то оплошности.

Ну так и замок нужен, чтобы дверь от сквозняка не распахивалась.

Было бы смешно, если бы не было так глупо.

Окей, в какой модели угроз твой пароль на sudo имеет значение?

sudo не от того делают, чтобы данные не спёрли, а чтобы ты, дурак, себе нечаянно систему не снёс.

Вот это вот. Никому особенно не нужен рут на десктопе. Если представляющие интерес данные есть, то они у пользователя, доступные всему, что запускается с его/её привилегиями.

Так а пароль-то как улучшает ситуацию? sudo сам не добавится

Добавляет небольшую задержку на подумать, не более :) Можно лишний пробел в аргументах rm заметить, например. На практике это скорее бесполезно, конечно.

Если кто знает пароль, то он и в рута залогинится. В судо смысл только один: чтобы программа не повышала себе привилегии без ведома пользователя. Ну еще защита от маленьких детей, которые не догадались подглядеть пароль.

У меня была ситуация, когда я во вводе команды ошибся. Пока к вводу пароля переходил, заметил и все отменил. А не было бы его - привет горячий.

чтобы программа не повышала себе привилегии без ведома пользователя

Ну вот с этим соглашусь, хотя большая часть такой дряни должна отсекаться неиспользованием популярной копипасты в духе curl | sh. Ещё одна проблема в том, что по умолчанию часто есть период, когда пароль не запрашивается какое-то время после прошлого ввода. Ну и по-хорошему, должны быть какие-то механизмы оповещения пользователя, когда что-то в его сеансе пытается повысить привилегии, с пароле или без. Не уверен, что там всё идеально, но в Windows оно, как минимум, выглядит именно так.

есть период, когда пароль не запрашивается какое-то время после прошлого ввода

Это настраивается.

Я, дурак, систему себе снесу равновероятно, что с nopasswd, что без. А если я ещё и пароли при этом буду вбивать, то буду ещё и уставшим дураком. Подумаешь система, в случае чего я её с бэкапа перелью за пять секунд.

Лучше, чем sudoers, работают нормально набитые рефлексы, первый из которых: понимать, что ты в командную строчку вбиваешь, и быть готовым к последствиям, как приятным, так и не очень.

Естественно, для начинающего пользователя nopasswd опасен. Ну так начинающий пользователь и не полезет sudoers править, а полезет - пускай обретает опыт через боль, пресловутое «не трожь» он наверняка перед этим в интернете прочёл)

username ALL=(ALL: ALL) NOPASSWD: ALL

Надо было просто добавить это отдельным файлом в /etc/sudoers.d/. Так оно будет не только после дистрибутивного конфига, но и не вызовет осложнений при обновлении.

Ох, соррян за некропостинг, вылезло в трекере.

Ваще с парой серверов общаюсь через рут. И довольно долго. Лет 15. ssh перевесил на другой порт. На 22 порт повесил тарпит -пускай веселятся. Logwatch шлет мне на почту каждый день доносы. Бывает сканеры нащупают мой ssh порт раз в полгода. Я его меняю.

Забыл сказать: в придачу тарпита приклеиваю правило iptables которое удерживает бота висеть минут пять.

правило iptables которое удерживает бота висеть минут пять

Это как? Бот же может просто закрыть соединение со своей стороны. Что ему помешает?

в следующей убунте обещают sudo на rust - это будет безопасно, а сейчас это опасно - вот и спрашивает