Thay đổi thời gian chờ mật khẩu sudo mặc định

18

Khi tôi chạy sudovà nhập mật khẩu của mình, một lệnh gọi tiếp theo sudotrong vòng vài phút sẽ không cần nhập lại mật khẩu.

Làm cách nào để thay đổi thời gian chờ mặc định để yêu cầu lại mật khẩu?

sudo 
Tom Hale
nguồn

Câu trả lời:

28

man sudoers nói:

Khi người dùng đã được xác thực, [...] người dùng có thể sử dụng sudo mà không cần mật khẩu trong một khoảng thời gian ngắn (5 phút trừ khi timestamp_timeouttùy chọn bị ghi đè ).

Để thay đổi thời gian chờ, hãy chạy sudo visudovà thêm dòng:

Defaults        timestamp_timeout=30

nơi 30là thời gian chờ mới trong vài phút.

Để luôn yêu cầu mật khẩu, hãy đặt thành 0. Để đặt thời gian chờ vô hạn, hãy đặt giá trị thành âm.

Để tắt hoàn toàn lời nhắc nhập mật khẩu cho người dùng ravi:

Defaults:ravi      !authenticate
Tom Hale
nguồn
3

Bạn cần chỉnh sửa / etc / sudoers. Đối với những người không sử dụng vi, bạn nên chỉnh sửa tệp này (trên một số hương vị của Linux) bằng lệnh đầu cuối như thế này:

sudo EDITOR=gedit visudo

Sau đó thêm hoặc thay đổi timestamp_timeout:

# After authenticating, this is the amount of time after which
# sudo will prompt for a password again in the same terminal
Defaults    timestamp_timeout=30
Qwertie
nguồn
Cách tránh ™ đúng vi, sẽ là đặt $EDITORbiến thành một thứ khác. Ý tưởng visudokhông phải là để gọi vi, mà là để mọi người tự khóa (và bất kỳ ai khác tùy thuộc vào sudo) ra khỏi roottài khoản của họ bằng cách 1) sao chép /etc/sudoersvào một tệp tạm thời, 2) gọi $EDITORvào tệp này, 3) chạy một cú pháp kiểm tra tập tin và 4) cuối cùng thay thế /etc/sudoersbằng phiên bản cập nhật.
Andreas Wiese
visudoTài liệu của chúng tôi nói điều này: "Thông thường, visudo không tôn trọng các biến môi trường VISUAL hoặc EDITOR trừ khi chúng chứa trình soạn thảo trong danh sách biên tập viên đã nói ở trên" - và danh sách chỉ mặc định vi, trong khi cho phép bất kỳ trình soạn thảo nào được cho là lỗ hổng bảo mật. Nhưng tôi có thể thú nhận rằng nó sudo EDITOR=gedit visudohoạt động trên hộp CentOS 7.2 của tôi. Kiểm tra cú pháp mà nó cung cấp chắc chắn là một điều tốt.
Qwertie
Ah, yeah, cảm ơn bạn đã làm rõ (thêm), tôi đã bỏ lỡ điều đó. Nhưng IIRC bạn cũng có thể tự thay đổi trình chỉnh sửa mặc định sudoers- chỉ dành cho bản ghi. Tôi chắc chắn kiểm tra cú pháp sẽ cho biết. ;)
Andreas Wiese
3

sudo visudo là để sửa đổi trực tiếp tệp cấu hình mặc định, nhưng trong tệp có đề xuất bên dưới

Vui lòng xem xét thêm nội dung cục bộ trong /etc/sudoers.d/ thay vì trực tiếp sửa đổi tệp này.

Vì vậy, cách tốt hơn

cd /etc/sudoers.d
sudo visudo -f user_name

Thêm nội dung

Defaults timestamp_timeout=(number)

(number)là thời gian chờ mới tính bằng phút .

timestamp_timeout (man 5 sudoers)

Số phút có thể trôi qua trước khi sudo sẽ yêu cầu một mật khẩu một lần nữa. Thời gian chờ có thể bao gồm một thành phần phân đoạn nếu độ chi tiết phút không đủ, ví dụ 2.5. Mặc định là 15. Đặt giá trị này thành 0 để luôn nhắc nhập mật khẩu. Nếu được đặt thành giá trị nhỏ hơn 0, dấu thời gian của người dùng sẽ không hết hạn cho đến khi hệ thống được khởi động lại. Điều này có thể được sử dụng để cho phép người dùng tạo hoặc xóa dấu thời gian của riêng họ thông qua lần lượt là sudo -v và và sudo -k.

Lưu tệp bằng cách nhấn Ctrl+ Ovà nhấn entervà thoát bằng Ctrl+ X.

Chìa khóa
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.