Como restaurar um arquivo sudoers quebrado sem poder usar o sudo?

O procedimento descrito aqui (que pode ser uma cópia imperfeita desta resposta do Ask Ubuntu ) realizou o milagre. Estou copiando aqui e adicionando mais algumas explicações.

Procedimento

1. Abra duas sessões SSH para o servidor de destino.

2. Na primeira sessão, obtenha o PID do bash executando:

    echo $$
   

3. Na segunda sessão, inicie o agente de autenticação com:

    pkttyagent --process 29824
   

   Use o pid obtido na etapa 1.

4. De volta à primeira sessão, execute:

    pkexec chown root:root /etc/sudoers /etc/sudoers.d -R
   

5. Digite a senha no prompt de senha da segunda sessão.

Explicação

Semelhante a sudo, pkexecpermite que um usuário autorizado execute um programa como outro usuário, normalmente root. Ele usa polkit para autenticação; em particular, a org.freedesktop.policykit.execação é usada.

Esta ação é definida em /usr/share/polkit-1/actions/org.freedesktop.policykit.policy:

  <action id="org.freedesktop.policykit.exec">
    <description>Run programs as another user</description>
    <message>Authentication is required to run a program as another user</message>
    <defaults>
      <allow_any>auth_admin</allow_any>
      <allow_inactive>auth_admin</allow_inactive>
      <allow_active>auth_admin</allow_active>
    </defaults>
  </action>

auth_adminsignifica que um usuário administrativo tem permissão para executar esta ação. Quem se qualifica como usuário administrativo?

Neste sistema específico (Ubuntu 16.04), que está configurado em /etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf:

[Configuration]
AdminIdentities=unix-group:sudo;unix-group:admin

Portanto, qualquer usuário do grupo sudoou adminpode usar pkexec.

Em um sistema mais recente (Arch Linux), está em /usr/share/polkit-1/rules.d/50-default.rules:

polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});

Portanto, aqui, todos no wheelgrupo são usuários administrativos.

Na pkexecpágina de manual, ele afirma que, se nenhum agente de autenticação for encontrado para a sessão atual, pkexecusa seu próprio agente de autenticação textual, que parece ser pkttyagent. De fato, se você executar pkexecsem primeiro iniciar o pkttyagentprocesso, será solicitada uma senha no mesmo shell, mas falhará após inserir a senha:

polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie

Este parece ser um bug antigo no polkit que não parece estar ganhando força. Mais discussão .

O truque de usar dois shells é apenas uma solução alternativa para esse problema.

Inicialize em um ambiente ao vivo e corrija-o a partir daí.

Isso obviamente requer acesso físico ou acesso 'equivalente físico' (se estiver lidando com uma VM ou VPS), mas quase sempre funciona, não se importa com o sistema init que você possui e não se importa se você tem ou não uma senha raiz.

A abordagem geral é relativamente simples:

1. Prepare um live CD (ou outra mídia de inicialização) que seja compatível com o sistema operacional que você está usando (na maioria das vezes, isso se resume ao suporte à combinação específica de drivers de armazenamento e sistemas de arquivos necessários para montar o sistema de arquivos raiz).
2. Inicialize o sistema afetado usando essa mídia de inicialização.
3. Monte o sistema de arquivos raiz do sistema afetado em algum lugar.
4. Edite e salve o arquivo.
5. Reinício.

Esse tipo de correção funciona porque evita completamente os controles de acesso do sistema afetado, permitindo que você faça praticamente o que quiser. Esse nível de acesso irrestrito ao sistema é parte do motivo pelo qual a segurança física é tão importante.

Observe que, se estiver adotando essa abordagem, talvez seja necessário fazer algo especial ao reiniciar o sistema 'normal' para que as coisas funcionem corretamente. Em uma instalação padrão do Ubuntu, isso não deve ser necessário, mas se você estiver usando SELinux (ou ainda menos provável, IMA e EVM), pode ser necessário adicionar opções extras de inicialização e, em seguida, executar um comando do sistema inicializado para corrigir os rótulos de segurança .

Para aqueles que têm uma senha de root, basta usar o modo de usuário único.

Systemd chama isso de 'modo de resgate', mas todos os outros o chamam de modo de usuário único. Isso essencialmente inicializa em um shell raiz com quase nada além de serviços críticos em execução. É tradicionalmente usado para corrigir exatamente esse tipo de problema.

A única desvantagem disso é que em qualquer sistema moderno devidamente protegido, o modo de usuário único é protegido por senha e requer a capacidade de efetuar login como usuário root (a razão para isso é que o acesso ao console do sistema não implica inerentemente acesso físico para o hardware do sistema, então alguma autenticação deve ser usada).

Sempre que você planeja experimentar com a sudoconfiguração, é uma boa ideia manter outro terminal raiz aberto: caso você quebre algo, você já terá o direito de corrigi-lo.

Se não for possível manter um terminal aberto (por exemplo, seus experimentos envolvem uma reinicialização), defina uma senha real para o rootusuário. Então, se sudoestiver quebrado, você pode simplesmente fazer login como root(abra um novo console ou execute su) e conserte seu sistema.