Restringir os comandos sudo -i ou sudo -s do arquivo sudoers

0

Existe uma maneira de restringir os seguintes comandos sudo -i ou sudo -s no arquivo sudoers ?

Quando adiciono !/usr/bin/sudo -i ou !/usr/bin/sudo -s , sudo ainda permite que os usuários executem o comando.

    
por alisacworld 19.05.2017 / 18:49

2 respostas

-1

Eu sei que essa não é uma boa resposta, já que não posso responder diretamente à sua pergunta, mas em man sudoers há uma seção chamada Evitando Shell Escapes que eu acho que pode ser de interesse para você:

Once sudo executes a program, that program is free to do whatever it pleases, including run other programs. This can be a security issue since it is not uncommon for a program to allow shell escapes, which lets a user bypass sudo's access control and logging. Common programs that permit shell escapes include shells (obviously), editors, paginators, mail and terminal programs.

There are two basic approaches to this problem:

   restrict  Avoid giving users access to commands that allow the user to
             run arbitrary commands.  Many editors have a restricted mode
             where shell escapes are disabled, though sudoedit is a better
             solution to running editors via sudo.  Due to the large
             number of programs that offer shell escapes, restricting
             users to the set of programs that do not is often unworkable.

   noexec    Many systems that support shared libraries have the ability
             to override default library functions by pointing an
             environment variable (usually LD_PRELOAD) to an alternate
             shared library.  On such systems, sudo's noexec functionality
             can be used to prevent a program run by sudo from executing
             any other programs.  Note, however, that this applies only to
             native dynamically-linked executables.  Statically-linked
             executables and foreign executables running under binary
             emulation are not affected.
    
por 19.05.2017 / 20:02
-1

Uma lista negra em sudoers é quase certamente uma perda de tempo. Existem muitas soluções alternativas.

Para implementar qualquer tipo de restrição, uma lista de permissões é a única abordagem prática. Mesmo assim, tenha cuidado com as permissões de quaisquer comandos incluídos na lista de desbloqueio (a auditoria regular será necessária), quaisquer comandos que possam permitir escapes de shell e quaisquer comandos que possam gravar arquivos novos / existentes.

Então, por exemplo, estas são idéias ruins:

  • permitindo que o acesso sudo execute um script de propriedade do usuário
  • dando acesso ao sudo a "menos"
  • dando acesso ao sudo para "cp"
por 20.09.2018 / 02:54