Причины:
- Назначение `ALL=(ALL) ALL` любому пользователю.
- Использование `NOPASSWD` без ограничения списка команд.
- Разрешение запуска shell/редакторов/компиляторов без контроля аргументов.
- Отсутствие таймаута сессии (`timestamp_timeout`).
- Игнорирование проверки пути к исполняемым файлам (можно подменить через `$PATH`).
Решение:
1. Минимальные права — указывать конкретные команды с полным путём:
`username hostname=(runas) TAG: /usr/bin/command`
2. Группировка через `Cmnd_Alias`:
`Cmnd_Alias BACKUP = /usr/bin/rsync, /usr/bin/tar`
3. Отключить ALL для всех, кроме root:
`root ALL=(ALL) ALL`
`%admin ALL=(ALL) /usr/bin/systemctl`
4. Запретить оболочки и редакторы:
`username ALL=(ALL) !/usr/bin/bash, !/usr/bin/vim`
5. Обязательные флаги безопасности:
`Defaults requiretty, env_reset, mail_badpass`
`Defaults timestamp_timeout=0`
`Defaults passwd_timeout=0.5`
6. Проверка конфига: `visudo`, `sudo -l`
7. Аудит: `/var/log/auth.log`, `grep sudo /var/log/auth.log`
Пример безопасной записи:
user1
ALL=(root) /usr/sbin/reboot, /usr/bin/apt-get update