impede que os usuários criem novas instâncias de shell

Navegue suas respostas
0

Existe alguma maneira de desabilitar os usuários de criar novas instâncias do shell por meio do arquivo sudoers? também desabilitá-los para definir quaisquer variáveis de ambiente?

Eu gostaria de escrever uma linha no arquivo sudoers como:

someuser ALL=(ALL) NOPASSWD: ALL, NOTSETENVVARS: ALL, NONEWSHELLINSTANCES: ALL

onde: NOTSETENVVARS significa a instrução para não definir novas env envs NONEWSHELLINSTANCES significa que não há novas instâncias de shell

Obrigado antecipadamente

    
por sevillo 24.11.2014 / 18:38

2 respostas

1

Eu não tentaria combinar isso com ALL . Se você estiver tentando restringir um usuário, coloque-o na lista negra primeiro e, em seguida, coloque-o na lista de permissões cuidadosamente.

Restringir escape de shell com NOEXEC: Verifique a página do manual para obter detalhes: link

Restringir as variáveis de ambiente (não desabilite totalmente ao meu conhecimento) com o uso criativo de env_reset e secure_path .

Exemplo: 

Defaults     env_reset
Defaults     secure_path
someuser ALL=(root) NOPASSWD: SOMESPECIFICCOMMANDS
someuser ALL=(root) NOEXEC: /usr/bin/vim

Além disso, compre o livro de Michael W. Lucas Sudo Mastery . É ótimo! (Ele tem alguns exemplos melhores, mas achei melhor não plagiá-los.)

    
por 05.10.2017 / 01:29
0

Não.

Controles como este não existem porque podem ser banidos pelo usuário instalando / executando seu próprio programa shell sem as restrições ou com as restrições corrigidas.

Não há como saber se um programa é um shell ou não.

Além disso, o arquivo sudoers controla apenas o utilitário sudo , não qualquer coisa que o usuário execute antes de executar sudo , ou depois de ter sido elevado.

    
por 24.11.2014 / 18:45

Tags

'hhighlighter' script invocador dizendo comando não encontrado [fechado] mdadm: Reativando a matriz RAID6 após o desligamento incorreto