質問:
ユーザーPiのsudoを無効にします(またはrootパスワードが必要です)
daviddavidson
2016-11-20 11:24:16 UTC
view on stackexchange narkive permalink

私はこのことで髪を引っ張っています。

ここでRaspberianを使用しています。

そこで、Piユーザーがを使用できないように制限しようとしています。 rootパスワードなしのsudo 。徹底的に検索した後、私はそれをあきらめ、今は sudo へのすべてのアクセスを無効にしようとしています。結局のところ、必要なときにいつでも su-を実行できます。

現在の/ etc / sudoersファイルは次のようになります

  ##このファイルはMUSTです。 'visudo'コマンドをrootとして使用して編集します。##このファイルを直接変更するのではなく、/ etc / sudoers.d /にローカルコンテンツを追加することを検討してください。## sudoersファイルの作成方法の詳細についてはmanページを参照してください。 #Defaults env_resetDefaults mail_badpassDefaults secure_path = "/ usr / local / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/ bin"#ホストエイリアス仕様#ユーザーエイリアス仕様#コマンドエイリアス仕様#ユーザー権限の指定#rootALL =(ALL:ALL)ALL#グループsudoのメンバーに任意のコマンドの実行を許可する#%sudo ALL =(ALL:ALL)ALL# "#include"ディレクティブの詳細については、sudoers(5)を参照してください。 #includedir /etc/sudoers.d

検索全体を通して、ファイル内のPiユーザーのエントリを削除または変更するためのawnserがほとんど見つかりました。私のインストールでは、Piユーザーのエントリはなく、代わりにアクセス許可がsudoグループから継承されたようです。

それ以来、/ etc / sudoersからsudoグループをコメントアウトしました。上記のグループからPiユーザーを削除しました。

  pi @ raspberrypi:〜$ groups pipi:pi adm dialout cdrom audio videoplugdevゲームユーザー入力netdevspi i2c gpio

しかしそれでも; 

  pi @ raspberrypi:〜$ sudo -lMatchingラズベリーパイのpiのデフォルトエントリ:env_reset、mail_badpass、secure_path = / usr / local / sbin \:/ usr / local / bin \:/ usr / sbin \:/ usr / bin \:/ sbin \:/ binUser piは、raspberrypiで次のコマンドを実行できます:(ALL)NOPASSWD:ALL

問題; 

  pi @ raspberrypi:〜$ ls / root /
ls:ディレクトリを開くことができません/ root /:アクセスが拒否されましたpi @ raspberrypi:〜$ sudo ls / root / DesktopDocumentsダウンロード音楽写真パブリック一時テンプレートビデオ

ルートパスワードを要求するにはどうすればよいですか sudo 、または visudo を介さない場合は、Piのアクセスを削除しますか?

`root`パスワードはありません(パスワードを作成することはできますが、それはお勧めできません。そのため、Debianにはパスワードがありません)。 `pi`ユーザー(システム管理者)がシステム上で何もできないようにするのはなぜですか?制限付きユーザーが必要な場合は、作成してください。
私は、Fedoraの経験(rootがパスワードを持っている場合)から必要以上にプルしている可能性があると思います。いずれにせよ、私が働いている会社はPiをメディアプレーヤーとして使用しています。Linuxの経験が少しあり、Piは以前使用していた数百ドルのソリューションと同じくらい優れているからです。これは、Piユーザーが常にロック画面なしでログインしていることを意味します。 Pi自身に直接保存される懸念事項は実際にはなく、施設全体が常に監視されていますが、ネットワークデバイスをそのような方法で保護しないままにしておくのは_間違っている_と感じています。
デバイスを改ざんから保護するために間違ったアプローチを取っています。 Raspbianもユースケースを対象としていません。 RasPiでarchlinuxarmを使用し、必要なソフトウェアのみをデバイスに追加することをお勧めします。次に、はるかに小さい攻撃対象領域を確保します。 (私はより良い言葉がないために攻撃対象領域を使用します)。 --- Rasbianは、Linuxのことを聞いたことがない、または組み込みデバイスに慣れたことがない人にとって、可能な限り友好的であるように設計されています。そのため、実稼働環境で使用すると、多くのセキュリティ問題が発生します。
四 答え:
Hani Shams
2017-03-03 06:16:25 UTC
view on stackexchange narkive permalink

ファイル /etc/sudoers.d/010_pi-nopasswd

から NOPASSWD を削除するだけです:

  pi ALL =(ALL)NOPASSWD:ALL

to:

  pi ALL =(ALL)ALL
>
通常のエディターの代わりに `visudo`を使用してファイルを編集することを忘れないでください(その` -f`オプションを使用してデフォルト以外のファイル(デフォルトは `/ etc / sudoers`)を指定できます)。 `visudo`は、編集したファイルを実際に置き換える前に構文チェックを行うため、間違えた場合の頭痛の種から解放されます。
より良い解決策は、 `/ etc / sudoers.d / 010_pi-nopasswd`ファイル全体を削除することです。
私は今朝、パスワードなしのデフォルトのrootへのsudoが、「pi」のような一見無害に聞こえるユーザーアカウントに提供されていることに非常に驚いています。 Pawel、パッケージが更新されたときにファイルを置き換えることができるので、ファイルを削除するのではなく、行をコメントアウトすることもお勧めします。これはセキュリティバグです。
goldilocks
2016-11-21 05:27:24 UTC
view on stackexchange narkive permalink

Raspbianで最初に行うことの1つは、 pi ユーザーを排除することです。 OSの主な使用例は、小学生にコンピューターについて教え、コンピューターを簡単に使えるようにすることでした。そして、それが物事を破壊する機会を提供する範囲で、そこには教育的な経験があります。しかし、それは露骨なセキュリティホールです。

とにかく、これら3つのデフォルトとこれだけの / etc / sudoers があります。

  root ALL =(ALL:ALL)ALL

コメントを外したまま、再起動してください。

rootアカウントを使用しない場合は、最初にパスワードを作成する必要があります) userdel pi に、 / home / pi がなくなっていることを確認し、新しい、通常の、特権のないものを作成しますユーザー。

その後、特権的な操作を行う必要がある場合は、コンソールからログインするか、use su を使用します(ただし、Xの内部ではなく、それにはいくつかのリスクがあります)。

そのリンクはここに戻るだけですが、自動ログインはRaspberry Pi用に発明されたものではないため([`agetty`](http://man7.org/linux/man-pages/man8 /agetty.8.html)オプション、またはGUIの場合は `lightdm`構成)。ただし、Piユーザーを除いて、 `raspi-config`を使用して簡単に有効/無効にすることはできません(ただし、変更するのは難しくありません)。
申し訳ありませんが、ページはhttps://raspberrypi.stackexchange.com/questions/41458/how-can-i-boot-into-gui-after-changing-the-default-user-no-longer-workingでした。別のコメントを投稿し、数日以内に両方を削除します。
いいえ、実際には行っていません。また、GUIを実行して試すpiもありません。 [this](https://www.maketecheasier.com/enable-autologin-lightdm/)がそれらの(古い)投稿よりも多くの構成オプションについて言及していることに気付きました。
[LightDMオプションに関するこのページ](https://www.maketecheasier.com/enable-autologin-lightdm/)の指示を試しましたが、ゲストと新しいユーザーの両方に自動的にログインできませんでした。 RaspbianはデフォルトでLightDMではなく[PIXEL](https://en.wikipedia.org/wiki/Raspbian)を使用しているためですか?
DM(ディスプレイマネージャー)とDE(デスクトップ環境)は、2つの異なる種類の動物です(ウィキペディアを参照)。 RaspbianはlightdmをDMとして使用し、PIXEL(彼らはそれを呼ぶのをやめたと思います。今では「Raspbianデスクトップ」か何かです)がDEです。あなたはそれに限定されません、ところで、あなたは他のものを使うことができます(そして異なるユーザーは異なるDEを使うことができます)。これを実際に質問に形式化し、「失敗」の意味について詳しく説明する必要があります。そこに手がかりがあるかもしれません。
`[Seat:*]`の前に、コメントの `autologin`オプションを編集していました。今ではうまくいきます、ありがとう! [これに対する]回答を投稿しますか(https://raspberrypi.stackexchange.com/questions/41458/how-can-i-boot-into-gui-after-changing-the-default-user-no-より長く機能する)および[this](https://raspberrypi.stackexchange.com/questions/57887/disable-sudo-for-user-pi-or-require-root-password/57918)?また、これらのコメントをすべて削除することをお勧めします。回答に追加する場合を除いて、これらのスレッドの1つに向けて1つ追加します。
これが、*質問をして、それに関連するすべての詳細を含める*方が効率的である理由です。例:最後のコメントは、コメントアウトされたことに気付かずに、コメントアウトされた構成フィールドと変更されたフィールドを編集したことを意味します。 **関連情報を含む質問を投稿した場合に明らかだったであろう何か**。それが問題ではないとしても、私は今どのように知るのですか?私はあなたの設定を見ていませんし、あなたがそれらで使用されている規則(コメントなど)のいくつかを理解しているかどうかわかりません。だから時間の無駄になります。これが丸1週間になっていることに注意してください...
私はすべての点に同意し、謝罪します。これらのコメントと2つの開いているスレッドをどのように進めますか?
古いものは自動ログインに関するものではなく、これはすべてそれに関連していませんが、あなたが見つけたものを組み込んだ他の答えを書きたい場合は、してください!
Andrew Grafham
2017-06-30 15:29:53 UTC
view on stackexchange narkive permalink

実行する必要のある2つの手順があります。「sudo」グループからユーザーを削除することと、「pi」sudo権限も付与する/etc/sudoers.d/内の特別なファイルを削除することです。これらのコマンドをrootとして実行する必要があります(したがって、piユーザーでsudoを無効にする前に、別のユーザーを作成してsudoグループに追加する必要があります)

  1. delgroup pi sudo
  2. rm /etc/sudoers.d/010_pi-nopasswd
    3. ol>
Hydranix
2016-11-20 12:54:13 UTC
view on stackexchange narkive permalink

代わりにこのアプローチを試してください:

メディアプレーヤーのみを使用するための新しい非常に制限されたユーザーを作成します。 (「guest」は任意の名前に置き換えてください)

  useradd -m -U guest

このユーザーのパスワードを設定します(プロンプトが表示されます) 

  passwd guest

または、このユーザーでパスワードを使用したくない場合(パスワードを無効にする)

  passwd -d guest

これで、 guest にsudoアクセスがなくてもメディアプレーヤーを実行できるようになります。アカウントをロックダウンするには、さらに手順が必要になる場合がありますが、正確な状況を知らなければ、これ以上アドバイスすることはできません。



このQ&Aは英語から自動的に翻訳されました。オリジナルのコンテンツはstackexchangeで入手できます。これは、配布されているcc by-sa 3.0ライセンスに感謝します。
Loading...