unix - desabilita “su” para ssh'ers

3

Gostaria de desabilitar a obtenção de root para todos os usuários que ssh in - incluindo "sudo su" porque é praticamente a mesma coisa ... Isso pode ser feito? Suponha que eu não esteja ssh'ing e tenha acesso físico à máquina, mas que queira impedir que outros usuários obtenham root sem acesso físico.

    
por user3475234 20.11.2014 / 14:25

1 resposta

1

Eu não consigo pensar em uma maneira genérica de ter o mesmo usuário capaz de fazer sudo em um terminal gráfico (que é um virtual tty) e não em uma conexão ssh - que no final é apenas outro tipo de tty virtual.

O que posso pensar como uma solução aproximada é:

  1. possuem usuários confiáveis que podem usar sudo (1), chamá-los de alpha e beta

  2. tem usuários que não podem fazer sudo (1), chamá-los de aleph y bet

Agora, proíba o login do ssh para alpha y beta usando a diretiva DenyUsers em /etc/ssh/sshd.conf :

DenyUsers alpha beta 

Se você quiser que o usuário alpha y aleph possa compartilhar arquivos, poderá torná-los o mesmo grupo ou membros de um grupo adicional e ajustar as permissões de arquivo de acordo.

Notas de rodapé:

(1) Apenas um lembrete: um usuário pode fazer sudo se for um membro do grupo sudo ou adm (dependendo da versão do Ubuntu). Para remover a capacidade de um usuário fazer sudo:

gpasswd -d user sudo 
gpasswd -d user adm 

e para ativá-lo:

gpasswd -a user sudo 
gpasswd -a user adm 

(um ou outro --- verifique com groups qual é o grupo correto em seu sistema).

    
por Rmano 20.11.2014 / 16:58

Tags