Restringir o acesso ao diretório com sudo

1

Se eu tiver uma pasta em /var/secret/ e der a um usuário acesso ao comando sudo , existe uma maneira de permitir que eles tenham acesso total a qualquer outro lugar, MAS /var/secret/ e não lhes dá absolutamente acesso a isso?

    
por markzz 07.09.2015 / 04:11

1 resposta

1

Isso é quase (mas não teoricamente) impossível. Uma vez que o usuário tenha acesso sudo que não seja altamente limitado, eles terão acesso root - por exemplo, rodar sudo / bin / bash criará um shell bash com privilégios de root e poderá bipassar quaisquer mecanismos colocados por root.

A maneira teórica de fazer isso seria criar regras de sudo que permitam ao usuário fazer praticamente qualquer coisa que deseje / precise, exceto a capacidade de executar todos os comandos que podem acessar este recurso - quase certamente não é possível fazer na prática.

Você também pode usar o SELinux ou o Apparmour para limitar a capacidade de acessar diretórios - mas, novamente, alguém com root pode desfazer isso.

Você pode frustrar o acesso ao recurso especificado mantendo-o criptografado e montando o volume criptografado - espero que isso não impeça o acesso, mas evitará o acesso casual. [Percebo que quando uso o FUSE para montar remotamente um sistema de arquivos como usuário, apenas o usuário que montou o sistema de arquivos pode acessá-lo. É claro que, como eu sou root, posso simplesmente voltar para esse usuário e ver os arquivos - e sem dúvida há outras maneiras de fazer isso. Além disso, se o recurso não for montado quando o usuário tiver acesso root e a chave não estiver armazenada na memória, ele também não poderá obtê-lo.

    
por 07.09.2015 / 07:54