0 votos

gctwnl avatar

¿Sigue siendo necesario establecer un límite de tiempo de sudo de 0 segundos para las operaciones seguras de MacOS?

Preguntado el 17 de Agosto, 2021
Cuando se hizo la pregunta
56 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Estoy acostumbrado a poner

Default timestamp_timeout=0

en /etc/sudoers a través de la visudo al configurar un nuevo MacOS. La razón original era que las aplicaciones pueden iniciar shell scripts y solía ser que una aplicación que intentara constantemente ejecutar sudo en segundo plano podría secuestrar las credenciales de sudo (porque generaba el mismo TTY si no recuerdo mal) y obtener acceso Root (ugh). Por lo tanto, siempre pongo el tiempo de espera a 0 para tener que introducir la contraseña para cada comando sudo. Lo cual es un dolor, pero más seguro.

Sin embargo, si esa carretera en particular ha sido cerrada, tal vez podría hacer la vida un poco más cómoda ajustándola a una fracción de minuto. ¿Puedo hacerlo? ¿O sigue siendo un riesgo para la seguridad, algo que puede ser secuestrado?

Preguntado el 17 de Agosto, 2021 por gctwnl

Respuesta

¿Demasiados anuncios?

3voto

Jose Chavez avatar
Jose Chavez Puntos 645

Antes de Mac OS X Sierra, el sudo la configuración no permitía el tty_tickets opciones. Eso significaba que las credenciales se almacenaban en caché y eran accesibles por cualquier tty.

Desde Mac OS X Sierra, tty_tickets está habilitado por defecto, lo que significa que las credenciales sólo se almacenan en caché para un tty específico - con lo que se deshabilita este conjunto de exploits (es decir, la supervisión de /var/db/sudo y tratando de explotar sudo dentro del tiempo de espera).

Creo que tu memoria está un poco borrosa en lo que respecta a la generación de la misma tty, ya que el problema era realmente el descrito anteriormente.

Mac OS X Sierra fue lanzado en 2016, por lo que durante los últimos 5 años, los usuarios de la última versión del sistema operativo han estado seguros aquí.

En términos de riesgos de seguridad en general, debes tener en cuenta que (por supuesto) siempre hay menos riesgo en no tener credenciales en caché (es decir, timestamp_timeout=0). Hay que equilibrarlo con la comodidad del usuario, ya que también hay inconvenientes asociados a tener que introducir una contraseña muchas veces al día (cuando se utilizan credenciales basadas en contraseña).

Respondido el 17 de Agosto, 2021 por Jose Chavez (645 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X