Ubuntu

Ubuntu22.04 sudoersでNOPASSWD:指定したのにパスワードを聞かれる

2023.10.10

visudoコマンドで/etc/sudoersファイルを編集したところ、パスワードを聞かれなくなった。
便利だと思っていたのだけれど、他のユーザーになろうとするときにパスワードを聞かれる。
これは何か指定が間違っているのだろう。



広告

発生している問題と対策

sudoersの一番最後に、この指定がしてある。

/etc/sudoers ※visudoコマンドで編集

rohhie ALL=NOPASSWD: ALL

※rohhieのところは使用しているユーザー。

Ubuntuリポジトリのミラーを立てているので、そのユーザーで更新をかけようとするが、その時にパスワードを聞かれる。

$ sudo -u apt-mirror apt-mirror
[sudo] password for rohhie:

普段コマンドを実行しているときにパスワードを聞かれることはない。

以下の指定に変更することで、別のユーザーになるときにパスワードを聞かれることはなくなった。

/etc/sudoers ※visudoコマンドで編集

rohhie ALL=(ALL:ALL) NOPASSWD: ALL

JM Projectさんがマニュアルページを翻訳してくれていたおかげで、何が書かれているのかが分かった。
JM Project / Man page of SUDOERS

それでもなおsudoersの文法を読み解くのが難しく、カンマを挟んでは怒られ、ALL=を追加で書いて怒られ…と色々あった。
visudoコマンドを使って編集すると、文法チェックをしてくれるので、事故を未然に防ぐことはできた。

何が起きていたのか

最初はこう。

rohhie ALL=NOPASSWD: ALL

おまじないのようにこれを書いていたが、
 [rohhieは] [全てのホストで]=[パスワードなしで] [全てのコマンド] を実行できる
という指定だった。

修正後はこう書いている。

rohhie ALL=(ALL:ALL) NOPASSWD: ALL

これは
 [rohhieは] [全てのホストで]=[全ての人に変身可能:全てのグループを指定可能] [パスワードなしで] [全てのコマンド] を実行できる
という指定だった。

最初は、Tag_Specだけを指定しており、人とグループに言及していないので、誰かに変身しようとするときにはパスワードを求められた。
修正後は、Runas_SpecとTag_Specを指定しており、人とグループについて書いてあるから、パスワードを聞かれなくなった。

調べたこと

マニュアルを上から読んでいって、以下が目に付いた。

  • デフォルトのセキュリティは/etc/sudoers。
    これは、visudoコマンドで編集していたファイルだった。
  • ユーザーに複数のエントリがマッチする場合は順番に、複数の指定がマッチしている場合は最後にマッチしたものが使用される。
    NOPASSWD:指定を入れた行によって効果があったりなかったりしたのは、これが理由だった。
  • sudoがコマンドを実行する時には…
    • ユーザーとグループなどの情報が変身対象ユーザーと同一にセットされる。
    • 環境変数は最低限のものにリセットされる。

その他、ちょっと細かなことを以下で。

sudoersとsudoグループ

/etc/sudoersファイルにはこんな指定が入っている。
sudoグループに入れたユーザーは、sudoコマンドを使用できるようになる、というのの理由はこれだった。

%admin ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL

先頭に%が付いているものはエイリアスで、グループを表している。

%adminの方は、Runas_Specとして(ALL)と指定されている。
%sudoの方は、Runas_Specとして(ALL:ALL)と指定されている。

Runas_Specについて、マニュアルでは以下のように説明されていた。

  • 1つ目のRunas_Listだけが指定されている場合は、いかなるユーザーにでも変身してコマンドを実行できるが、-gオプション(プライマリグループ指定)ができない。
  • 2つ目のRunas_Listだけが指定されている場合は、グループを任意に指定してコマンドを実行できるが、sudoを実行するユーザーの資格で実行することになる。
  • 両方が空の場合は、sudoを実行するユーザーの資格でしかコマンドを実行できない。
  • 無指定の場合は、rootとしてコマンドを実行できるが、グループを指定することはできない。

sudoグループと比較すると、adminグループではグループを指定することができないということ。

ただし、Ubuntu 22.04 LTS serverをインストールしたところでは、adminグループは存在しない。
多くの場合はユーザーをsudoグループに入れるのだろうから、この違いが問題になることはないといえる。

環境変数

デフォルトではenv_resetオプションが有効になっており、最小の環境で実行されるされる、とされていたので確認してみたところ、確かにだいぶすっきりしている。
PATHについては、gameがなくなっている。

$ env | sort
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus
HOME=/home/rohhie
LANG=en_US.UTF-8
LESSCLOSE=/usr/bin/lesspipe %s %s
LESSOPEN=| /usr/bin/lesspipe %s
LOGNAME=rohhie
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.webp=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:
MOTD_SHOWN=pam
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
PWD=/home/rohhie
SHELL=/bin/bash
SHLVL=0
SSH_CLIENT=192.168.110.1 54650 22
SSH_CONNECTION=192.168.110.1 54650 192.168.110.151 22
SSH_TTY=/dev/pts/0
TERM=xterm
USER=rohhie
_=/usr/bin/env
XDG_DATA_DIRS=/usr/share/gnome:/usr/local/share:/usr/share:/var/lib/snapd/desktop
XDG_RUNTIME_DIR=/run/user/1000
XDG_SESSION_CLASS=user
XDG_SESSION_ID=9
XDG_SESSION_TYPE=tty
$ sudo env | sort
HOME=/root
LANG=en_US.UTF-8
LOGNAME=root
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.webp=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:
MAIL=/var/mail/root
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
SHELL=/bin/bash
SUDO_COMMAND=/usr/bin/env
SUDO_GID=1000
SUDO_UID=1000
SUDO_USER=rohhie
TERM=xterm
USER=root

PAMをサポートしているシステムなので、PAMの管理する環境にある変数がマージされるそうだ。
PAMの管理する環境…これはまたどこかで。

先日、GRUBをコンパイルしてみたとき、

$ ./configure
$ make
$ sudo make install

という手順を実行した(実際にはもっと複雑な手順があり、最終的にはmake installしない手順を整理している)。

最初、./configureって、環境変数に何か値を残していているのではないか、だとしたらログインする度に実行しなきゃならないものなのかと思っていた。
実際はそんなこともなかったのだけれど、それって、最後インストールする時にsudoコマンドを使うのだから環境変数には頼れなくて、makeファイルをどうにかしていたってことだったのかー。

調べてみて良かったな。

パスワードなしのユーザー

ユーザーにパスワードがなかったらどうなるのか…やってみたら、sudoコマンドをパスワードなしで使うことができた。
このユーザーはロックされた状態になるので、rootからしか変身ができないという話だった。

パスワードなしのユーザーのロックを解除することもできるようだが(passwd -u -f <username>)、自分としてはあまり使うシーンを思いつかなかった。

さいごに

いままで、パスワードなしでsudoを実行するために「おまじない」を使っていたが、今回調べてみたことで「指定する」に変わった。
他にも「おまじない」はいっぱいあるのだけれど、少しずつ調べていこう。

今になって調べてみると、sudoers関連の記事は大量にあって、今回の修正後の書き方を教えてくれている記事もたくさんあった。
後発で似たような内容の記事を投稿するのは申し訳ないが、自分で書いたものは自分で見たときに記憶がよみがえるという効果もあるので、ご容赦の程を。
(恐らくそんなに伸びないだろうし)

広告
rohhie

コメントはこちらから お気軽にどうぞ ~ 投稿に関するご意見・感想・他