9から12.04.1へのアップグレード後にSudoを破損しました

Question

現在、Sudoはパスワードの入力を求めますが、その後は何も起こりません。いかなる種類のエラーもありません。

私はsudoersファイルをチェックしましたが、visudo構文チェックに合格しました。セットアップは次のとおりです。

# # This file MUST be edited with the 'visudo' command as root. # # Please consider adding local content in /etc/sudoers.d/ instead of # directly modifying this file. # # See the man page for details on how to write a sudoers file. # Defaults env_reset Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL:ALL) ALL # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL # Allow members of group Sudo to execute any command %Sudo ALL=(ALL:ALL) ALL # See sudoers(5) for more information on "#include" directives: #includedir /etc/sudoers.d

ファイルには許可として0440があります。 Sudoおよびadminグループに自分を追加しました。

Sudoを使用しようとすると、次のようになります。

kml@rhythmsdev:/etc$ Sudo apt-get update kml@rhythmsdev:/etc$

ご覧のとおり、エラーはまったくありません。単にプロンプトに戻ります。

これがファイルの許可です

-r--r----- 1 root root 723 Feb 1 10:10 sudoers

sudoers.d

drwxr-xr-x 2 root root 4096 Feb 4 16:46 .

以下は、idの出力です。Sudoを動作させようとしているユーザーの1人です。

uid=1010(kml) gid=102(develop) groups=102(develop),4(adm),27(Sudo),106(admin),110(ftp)

アップグレードの実行方法。

SSHを介してdo-release-upgrade -dを使用してアップグレードを実行しましたが、廊下への旅行で物理的にアクセスできます。

/etc/sources.listの内容は次のとおりです。

 # # deb cdrom:[Ubuntu-Server 10.04 LTS _Lucid Lynx_ - Release i386 (20100427)]/ lucid main restricted # See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to # newer versions of the distribution. deb http://us.archive.ubuntu.com/ubuntu/ precise main restricted deb-src http://us.archive.ubuntu.com/ubuntu/ precise main restricted ## Major bug fix updates produced after the final release of the ## distribution. deb http://us.archive.ubuntu.com/ubuntu/ precise-updates main restricted deb-src http://us.archive.ubuntu.com/ubuntu/ precise-updates main restricted ## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu ## team. Also, please note that software in universe WILL NOT receive any ## review or updates from the Ubuntu security team. deb http://us.archive.ubuntu.com/ubuntu/ precise universe deb-src http://us.archive.ubuntu.com/ubuntu/ precise universe deb http://us.archive.ubuntu.com/ubuntu/ precise-updates universe deb-src http://us.archive.ubuntu.com/ubuntu/ precise-updates universe ## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu ## team, and may not be under a free licence. Please satisfy yourself as to ## your rights to use the software. Also, please note that software in ## multiverse WILL NOT receive any review or updates from the Ubuntu ## security team. deb http://us.archive.ubuntu.com/ubuntu/ precise multiverse deb-src http://us.archive.ubuntu.com/ubuntu/ precise multiverse deb http://us.archive.ubuntu.com/ubuntu/ precise-updates multiverse deb-src http://us.archive.ubuntu.com/ubuntu/ precise-updates multiverse ## Uncomment the following two lines to add software from the 'backports' ## repository. ## N.B. software from this repository may not have been tested as ## extensively as that contained in the main release, although it includes ## newer versions of some applications which may provide useful features. ## Also, please note that software in backports WILL NOT receive any review ## or updates from the Ubuntu security team. # deb http://us.archive.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse # deb-src http://us.archive.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse ## Uncomment the following two lines to add software from Canonical's ## 'partner' repository. ## This software is not part of Ubuntu, but is offered by Canonical and the ## respective vendors as a service to Ubuntu users. # deb http://archive.canonical.com/ubuntu lucid partner # deb-src http://archive.canonical.com/ubuntu lucid partner deb http://security.ubuntu.com/ubuntu precise-security main restricted deb-src http://security.ubuntu.com/ubuntu precise-security main restricted deb http://security.ubuntu.com/ubuntu precise-security universe deb-src http://security.ubuntu.com/ubuntu precise-security universe deb http://security.ubuntu.com/ubuntu precise-security multiverse deb-src http://security.ubuntu.com/ubuntu precise-security multiverse # deb http://security.ubuntu.com/ubuntu maverick-security main universe

ディレクトリ：/etc/apt/sources.list.dは空です。

lsb_release -aは

No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.1 LTS Release: 12.04 Codename: precise

apt-cache policy Sudoは：

Sudo: Installed: 1.8.3p1-1ubuntu3.3 Candidate: 1.8.3p1-1ubuntu3.3 Version table: *** 1.8.3p1-1ubuntu3.3 0 500 http://us.archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages 100 /var/lib/dpkg/status 1.8.3p1-1ubuntu3.2 0 500 http://security.ubuntu.com/ubuntu/ precise-security/main i386 Packages 1.8.3p1-1ubuntu3 0 500 http://us.archive.ubuntu.com/ubuntu/ precise/main i386 Packages

type -a Sudoは

Sudo is /usr/bin/Sudo

sha256sum $(which Sudo)は

0efd358e04ea07dc73b67642d9bb85f49143c65996a7c88a57b42557a0b0a50d /usr/bin/Sudo

pkexec echo successはこれを行いました：

==== AUTHENTICATING FOR org.freedesktop.policykit.exec === Authentication is needed to run `/bin/echo' as the super user Multiple identities can be used for authentication: 1. My Name,,, (me) 2. ,Account used for Git,, (git) 3. Coworker1,,, (cw1) 4. Coworker2,,, (cw2) 5. Coworker3,,, (cw3) 6. My Name,,, (me) 7. Coworker4,,, (cw4) 8. Coworker5,,, (cw5) 9. ,Account used for Git,, (git) Choose identity to authenticate as (1-9): 1 Password: ==== AUTHENTICATION COMPLETE === success

ほとんど無実の人々を保護するために名前が変更されました。なんらかの理由で2回現れます。ただし、他の同僚は誰もSudo（とにかく事前アップグレードできる同僚）を使用できません。

以下に、さらにいくつかのコマンドの出力を示します。

sudoersファイルをvisudoし、ルート行の下にkml ALL=(ALL:ALL) ALLを追加しました

Sudo -i echo successは以前と同じものを返しましたが、何もありません。

echo foo | Sudo tee foo.txt; ls -l foo.txtの結果：

ls: cannot access foo.txt: No such file or directory

Sudoの再インストール方法。

これを2回達成しました。

apt-get install --reinstall Sudoを初めて実行したとき-ルートから

それはほとんど達成できなかったので、最初にアンインストールしました：apt-get uninstall Sudoに続いてapt-get install Sudo

詳細情報を編集、再編集

Sudoは、パスワード認証後にサイレントを返し、再度尋ねません。 Sudo -kおよびSudo -K ~~静かに失敗する~~ ルートとしてログインしましたが、通常のアカウントでパスワードの入力を求められます。

詳細情報2

tail -f /var/log/auth.logを実行しました

ここに私のSudo lsからの出力が私のkmlアカウントからあります

Feb 6 16:33:27 rhythmsdev Sudo: pam_unix(Sudo:session): session opened for user root by kml(uid=1010) Feb 6 16:33:27 rhythmsdev Sudo: pam_unix(Sudo:session): session closed for user root

間違ったパスワードを入力しようとすると、新しいパスワードの入力が求められ、ログに記録されます

Feb 6 16:35:17 rhythmsdev Sudo: pam_unix(Sudo:auth): authentication failure; logname=kml uid=1010 euid=0 tty=/dev/pts/0 ruser=kml rhost= user=kml

ed3

Sudo apt-get clean && Sudo apt-get update && Sudo apt-get --purge --reinstall install Sudo

須藤はまだ動作しません。ここに出力がありました

apt-get install --purge --reinstall Sudo Reading package lists... Done Building dependency tree Reading state information... Done The following packages were automatically installed and are no longer required: mono-2.0-gac libxcb-aux0 python-fstab libgnomekbd4 libts-0.0-0 libwpd8c2a libcdio10 xsltproc pnm2ppa librpmbuild0 libcolamd2.7.1 lp-solve libglitz-glx1 openoffice.org-writer libntfs10 python-gnome2 libxcb-render-util0 libevent-1.4-2 gnome-media gnome-desktop-data libgtk-vnc-1.0-0 libgnomepanel2.24-cil xulrunner-1.9.2 libxcb-event1 libindicator0 linux-headers-2.6.32-38 libicu42 openoffice.org-draw libdbusmenu-glib1 ubufox python-aptdaemon-gtk openoffice.org-gtk libsilc-1.1-2 libgnome-media0 libbeagle1 g++-4.4 libexchange-storage1.2-3 libgraphite3 libwpg-0.1-1 libibus1 libproxy0 libnm-util1 python-gtksourceview2 libevview2 scrollkeeper libindicate-gtk2 libwebkit-1.0-2 libmono-system-runtime2.0-cil libpisock9 libdns64 libcamel1.2-14 bcmwl-modaliases librpmio0 librpm0 libgnome2-Perl libaccess-bridge-Java-jni libstdc++6-4.4-dev libeggdbus-1-0 libnspr4-0d libgtkhtml-editor0 esound-common python-pyorbit gdebi-core libnotify1 python-telepathy libedata-cal1.2-6 libaccess-bridge-Java libdevkit-power-gobject1 gnome-media-common librasqal2 libpango1.0-common ubuntuone-client-gnome cups-driver-gutenprint libgadu3 openoffice.org-style-human libmono-cairo2.0-cil libisccc60 cpu-checker libgweather1 python-gtkspell libgnome-bluetooth7 libxxf86misc1 libloudmouth1-0 libsexy2 libxcb-atom1 libido-0.1-0 libgmime2.4-cil compiz-plugins libffi5 libgnome-pilot2 libdirectfb-1.2-0 openoffice.org-style-galaxy libgssdp-1.0-2 libcryptui0 finger libmusicbrainz4c2a python-pyatspi libgp11-0 libjs-mootools python-webkit libgcr0 libqt4-webkit libcdio-cdda0 libhunspell-1.2-0 liblwres60 libgmp3c2 libgtksourceview2.0-common openoffice.org-math libhal1 libgtksourceview2.0-0 hal libgnome2-vfs-Perl libprotobuf5 libesd0 openoffice.org-common libegroupwise1.2-13 libdbusmenu-gtk1 libgsf-1-common gnome-doc-utils libecal1.2-7 at-spi libpoppler5 libgmime-2.4-2 libgdata1.2-1 libedataserver1.2-11 libhal-storage1 libpython2.6 gnome-system-monitor libmldbm-Perl libbind9-60 libimobiledevice0 libgtkmm-2.4-1c2a libglitz1 libevdocument2 libgdata-google1.2-1 libspeechd2 fglrx-modaliases libnunit2.4-cil libclutter-gtk-0.10-0 libebook1.2-9 libmagickcore2 libaudiofile0 libwps-0.1-1 libedataserverui1.2-8 nvidia-173-modaliases libphonon4 libgnome-window-settings1 libedata-book1.2-2 libgdata6 libxss1 libgs8 openoffice.org-emailmerge libappindicator0 liblpint-bonobo0 ntfsprogs libjpeg62 libgtkhtml-editor-common libqt4-designer libmpfr1ldbl libcdio-paranoia0 libmysqlclient16 libmagickwand2 libisccfg60 libfreezethaw-Perl smartdimmer libgupnp-1.0-3 screen-resolution-extra libnl1 libanthy0 tsconf liboobs-1-4 libgucharmap7 libgksu2-0 libdb4.7 libsilcclient-1.1-3 libindicate4 libndesk-dbus-glib1.0-cil libraptor1 python-wnck liboil0.3 libebackend1.2-0 firefox-branding hal-info speech-dispatcher libgnome-desktop-2-17 Fuse-utils python-desktopcouch gwibber libisc60 libnice0 linux-headers-2.6.32-38-generic libnautilus-extension1 compiz-fusion-plugins-main gnome-applets-data min12xxw libwebkit-1.0-common libavahi-ui0 libprotoc5 nvidia-96-modaliases libavahi-core6 libgupnp-igd-1.0-2 libgnome2-canvas-Perl libgtkhtml3.14-19 libgsf-1-114 python-rdflib gnome-panel-data libpoppler-glib4 libpisync1 libdotconf1.0 python-indicate Use 'apt-get autoremove' to remove them. 0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 16 not upgraded. Need to get 292 kB of archives. After this operation, 0 B of additional disk space will be used. Get:1 http://us.archive.ubuntu.com/ubuntu/ precise-updates/main Sudo i386 1.8.3p1-1ubuntu3.3 [292 kB] Fetched 292 kB in 0s (742 kB/s) (Reading database ... 310429 files and directories currently installed.) Preparing to replace Sudo 1.8.3p1-1ubuntu3.3 (using .../Sudo_1.8.3p1-1ubuntu3.3_i386.deb) ... Unpacking replacement Sudo ... Processing triggers for ureadahead ... Processing triggers for man-db ... Setting up Sudo (1.8.3p1-1ubuntu3.3) ...

編集4

sha256sum /usr/lib/Sudo/sudoers.so /usr/lib/Sudo/sudo_noexec.soの結果

6f2e56e05d9a3de942558255b72d59a147be2c637247e244c365838378fe6ec3 /usr/lib/Sudo/sudoers.so 7db6a45129ec1ef6d4cb21d7a488a85f5b45e4d21990116f64c9e71f116648c0 /usr/lib/Sudo/sudo_noexec.so

別のユーザーとしてのsudo（rootとして実行）

root@rhythmsdev:/home/kml# Sudo -u kml echo success root@rhythmsdev:/home/kml#

編集5

Eliah Kaganが提供するスクリプトを使用 here グループとIDの重複をチェックしました。すべての差分が空白になります。

編集6

strace echo success ここ

編集7

root@rhythmsdev:/home/kml# Sudo echo success root@rhythmsdev:/home/kml# echo $? 1

編集8

これは興味深いようです。これは、Sudoが動作しているサーバーとは異なります。

root@rhythmsdev:/home/kml# Sudo -l Matching Defaults entries for root on this Host: env_reset, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin User root may run the following commands on this Host: (ALL : ALL) ALL (ALL) ALL root@rhythmsdev:/home/kml#

それは私がルートだ

私として（ルートではなく）

kml@rhythmsdev:~$ Sudo -l [Sudo] password for kml: Matching Defaults entries for kml on this Host: env_reset, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin User kml may run the following commands on this Host: (ALL : ALL) ALL (ALL) ALL (ALL : ALL) ALL kml@rhythmsdev:~$

ありがとうございました、

現時点ではアイデアが新鮮です。

kevingreen · Accepted Answer

これは反気候でした…

Sudoersファイルの1行を変更することで修正できました。

この行を変更しました

Defaults env_reset

に変更しました

Defaults !env_reset

これは、Sudo -Eが機能していることに気付いたからです。そこで、私はいくつかの調査を行い、須藤が環境変数を一掃するのを防ぐ方法を見つけました。これまでのところ、それは修正されているようです。行う必要があるのは、どの環境変数を保持する必要があるかを把握し、env_keep + =で追加することです。

あなたのすべてのあなたの助けとサポートのために、私はこれを更新し続けます。私に知らせる前に誰かがSudo -Eを提案したかどうかはわかりませんが、その人に賞金を授与します。

ed1

そのため、！env_resetでセキュリティの問題を作成している可能性があります。更新し続けます。

hhlp · Answer

あなたが管理者グループに属しているかどうかを確認します。

linux CDを使用してレスキューブートを起動し、問題を修正することもできます。

Sudoersファイルを変更するときは、常にvisudoを使用する必要があります。 visudoは、保存する前にSudoファイルの構文をチェックし、この特定の問題から保護します（ただし、Sudoの実行を禁止するsudoersファイルを作成しないでください！）

Sudoersは通常、Ubuntuのrootでも書き込みできないように設定されていることに注意してください。

-r--r----- 1 root root 600 2012-06-18 18:00 sudoers

ファイル保護、またはsudoersファイルの所有権が正しくなくなりました。ファイルはユーザーが所有する必要があります：ルートおよびグループ：ルートおよびファイル保護は440（u = r、g = r、o-rwx）である必要があります。

chown root:root /etc/sudoers chmod u=r,g=r,o= /etc/sudoers chown -R root:root /etc/sudoers.d chmod u=rwx,g=rx,o=rx /etc/sudoers.d/ chmod u=r,g=r,o= /etc/sudoers.d/*

ファイルは、ユーザールートとグループルートに対してのみ読み取られる必要があります。ディレクトリは全員およびグループルートに対してr xである必要がありますが、ディレクトリへの書き込み権限を取得できるのはユーザーrootのみです。