主页 / ubuntu / 问题 / 1195719
Accepted
pa4080
Asked: 2019-12-13 10:56:51 +0800 CST

每次使用特定命令时,如何强制“sudo”要求输入密码?

  • 772

有没有办法sudo在我每次使用时强制命令要求输入密码sudo rm /path/file

我想保护自己免受愚蠢的错误,当我运行历史记录中的一些命令时,由于注意力不集中而犯下的错误。

command-line password sudo

4 个回答

  1. Best Answer

    如其他答案所述,sudo可以在缓存的凭据时间戳上设置超时。这可以使用Defaultsin专门针对给定命令完成sudoers

    Defaults!/bin/rm timestamp_timeout=0

    永远记得sudoersvisudo. 我推荐一个插入文件/etc/sudoers.d而不是直接编辑/etc/sudoers。例如:

    sudo visudo -f /etc/sudoers.d/always-ask-pass-for-rm

    手册页sudoers

    默认值

    某些配置选项可以在运行时通过一行或多Default_Entry行更改其默认值。这些可能会影响任何主机上的所有用户、特定主机上的所有用户、特定用户、特定命令或以特定用户身份运行的命令。请注意,每个命令条目可能不包含命令行参数。如果您需要指定参数,请定义 aCmnd_Alias并引用它。

    Default_Type ::= 'Defaults' |
                 'Defaults' '@' Host_List |
                 'Defaults' ':' User_List |
                 'Defaults' '!' Cmnd_List |
                 'Defaults' '>' Runas_List

Default_Entry ::= Default_Type Parameter_List

Parameter_List ::= Parameter |
                   Parameter ',' Parameter_List

Parameter ::= Parameter '=' Value |
              Parameter '+=' Value |
              Parameter '-=' Value |
              '!'* Parameter

    请注意,它确实说您可以影响“以特定用户身份运行的命令”,但没有提及由特定用户运行的命令,因此可能无法仅为您的用户限制它。手册页中的示例不包含任何内容。

    • 24

  2. 您可以使用k选项 withsudo来重置时间戳。

    如果sudo -k用作命令,它将立即使缓存的凭据过期/无效。

    但是,如果sudo -k与某些命令一起使用,例如 ,sudo -k rm /some/file即使某些凭据已被缓存,shell 也会要求输入密码。在这种情况下,不会缓存新凭据。这意味着如果sudo在此之后执行另一个命令,它不会要求输入密码(如果之前缓存了凭据)。

    sudo 的手册页

    -k [命令]

            单独使用时,sudo 的 -k(kill)选项会使用户的缓存凭据无效。下次运行 sudo 时将需要密码。此选项不需要密码,添加后允许用户从 .logout 文件撤销 sudo 权限。并非所有安全策略都支持凭证缓存。

            当与可能需要密码的命令或选项结合使用时,-k 选项将导致 sudo 忽略用户的缓存凭据。因此,sudo 将提示输入密码(如果安全策略需要密码)并且不会更新用户的缓存凭据。

    如果您想在不每次都sudo使用的情况下为特定命令询问密码,您可以在. 例如,来自pa4080 的评论k.bashrc

    sudo() { if [[ $@ =~ ^rm ]]; then /usr/bin/sudo -k "$@"; else /usr/bin/sudo "$@"; fi; }
    • 14

  3. 您可以将 sudo 设置为始终要求输入密码:

    
$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset, timestamp_timeout=120, pwfeedback
#Defaults   mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

    在我的配置中,我将 sudo 超时设置为 2 小时(120 分钟),然后再次要求输入密码。将其设置为0每次使用时都需要密码sudo

    • 3

  4. rm包装脚本

    前段时间我为该rm命令编写了一个包装脚本:

    一些显着的特点:

    • 每次rm调用时都必须使用加密密码,除非在批处理作业(如sudo apt-get或)中使用该密码sudo update-grub
    • 确保即使传递了相对路径,也不会删除顶级目录。
    • 每次rm使用它都会记录到journalctl/var/log/syslog
    • 2

相关问题