与SUDO密码不同的SSH /登录密码

我想使用与我用来（通过GUI，shell或SSH）登录我的帐户的密码不同的密码来将用户提升为sudo状态。这可能吗？

编辑： 由于设置root密码将允许以root用户身份登录，所以这不是一个好方法。我希望使用特定于用户的sudo密码，而不是系统范围的root密码。

来自man sudoers：

rootpw          If set, sudo will prompt for the root password instead of the
                password of the invoking user.  This flag is off by default.

runaspw         If set, sudo will prompt for the password of the user defined
                by the runas_default option (defaults to root) instead of the
                password of the invoking user.  This flag is off by default.

或者，您可以完全通过ssh禁止基于密码的登录。要求使用密码加密密钥进行远程登录。然后，您可以自由使用sudo的密码。相关选项是

来自man sshd_config

 PasswordAuthentication
         Specifies whether password authentication is allowed.  The default
         is “yes”.

您是在sudoers男人中寻找这个吗？

   targetpw        If set, sudo will prompt for the password of the user
                   specified by the -u option (defaults to root) instead of the
                   password of the invoking user. 

如何通过SSH禁用密码登录并允许公共密钥登录，在此处您可以设置难以猜测的密码。然后，本地密码可以更短并由sudo使用。

除此之外，您还必须配置/etc/pam.d/sudo为使用其他（或其他）模块，乍一看pam_dialpass可能会满足您的需求。

您还可以为一个配置LDAP配置，为另一个配置本地密码。这完全取决于您能够并愿意进行多少更改，可用的模块等。

解决方案1：newgrp

解决用例的一种简单方法是:NOPASSWD与组和组passwd结合使用：

在sudoers中添加一行：

%rudo   ALL=(ALL:ALL) NOPASSWD:ALL

创建一个受密码保护的组：

groupadd rudo
gpasswd  rudo # Enter passwd

现在，当您以非特权用户身份登录（假设您尚未在rudo组中）时，登录到该rudo组，此时将提示您输入密码。

login user
newgrp rudo

现在sudo，只要您保持登录状态，就可以运行无密码操作。

解决方案2：runaspw

使用一种更好，可能更安全的方法来执行此操作runaspw。runaspw与runas_default选项相关联，因此您也必须添加该选项。

假设您已经具有默认的%sudo组条目：

%sudo   ALL=(ALL:ALL) ALL

将这些行添加到sudoers文件中：

Defaults:%sudo  runas_default=sudo
Defaults:%sudo  runaspw

现在添加一个sudo具有密码的新用户：

useradd sudo -d /nonexistent -s /usr/sbin/nologin -MNr
passwd sudo

现在，将提示sudo组用户输入sudo用户的passwd，但只有sudo组中的用户才可以进行sudo（与上述组解决方案不同，该组中的任何人或组passwd都可以使用sudo）。

一个小问题是默认的runas用户现在sudo是sudo作为root用户，您需要显式指定root：

sudo -u root <cmd>

但是很容易定义别名（alias sudo='sudo -u root'）或间接sudo命令。