¿Hay algo así como sudo de una sola vez?

¿Hay alguna manera de tener una count de sudo por única vez?

Mi caso de uso es el siguiente.

Tengo una estación de Ubuntu sin ssh remoto permitido para esa máquina. La máquina generalmente sirve como una computadora de uso público. Pero a veces me gustaría otorgar acceso de root a algunas personas (a las que conozco personalmente) basadas en, por ejemplo, comunicación SMS o IM. Por supuesto, no me refiero a darles acceso completo a la raíz, solo uno restringido a algunos commands como apt-get o similar. De ninguna manera tengo la intención de permitirles que escriban en /etc

Pero obviamente no quiero compartir la contraseña de root. Y tampoco quiero que esas personas tengan acceso de root para siempre, ni quiero eliminar counts o cambiar passwords manualmente.

Así que pensé en crear una cantidad (suficientemente grande) de counts de acceso a raíz y save sus passwords en mi computadora portátil o teléfono. En el caso de que necesite proporcionar acceso de administrador a alguien, solo le enviaría la información de inicio de session de una count que se eliminaría cuando finalice la sudo de contraseña-caching.

¿Crees que este es un buen enfoque? Y si lo es, ¿dónde y cómo configurar el script de eliminación?

Nunca he visto algo así como sudo de una sola vez, pero aún podrías get un sudo una vez configurando passwords de un solo uso. Hay un artículo en Linux Journal, titulado: Configuración de Autenticación de contraseña única con OTPW , que cubre las diversas forms en que puede hacer esto. Hay 3 packages que discuten que facilitan esto:

  • S / KEY
  • OPIE (Contraseñas de un solo uso en todo)
  • OTPW (sistema de contraseña única)

Nunca he usado ninguno de estos, así que no puedo ofrecerle ninguna guía o experiencia práctica para usar ninguno de ellos, pero el artículo de LJ y las fonts que me gustaron parecen tener todo lo que uno necesitaría para comenzar.

Si le das permiso a un usuario para ejecutar commands arbitrarios como root, puede plantar una puerta trasera. Si bien no es fácil instalar un rootkit sin ser detectado, otras personas han hecho el trabajo duro y puedes download e instalar un rootkit prefabricado. Por lo tanto, desde una perspectiva de security, un acceso raíz único no es más restrictivo que un acceso raíz permanente.

Si confía en el usuario, dele acceso a sudo y elimine ese acceso más tarde. Si no confía en el usuario, no le dé acceso a sudo.

Si desea otorgar permiso a un usuario para ejecutar commands específicos, entonces tiene sentido un acceso sudo de time limitado. Pero no hay ningún beneficio al permitir un acceso de una sola vez. Bríndeles acceso en un punto en el time y elimine ese acceso más tarde. Por ejemplo, puede otorgar un acceso de 24 horas agregando una línea al file sudoers y configurando un trabajo para eliminar esa línea.