COMO: desabilitar o sudoer da edição do arquivo / etc / sudoers?

5

Como posso evitar que um sudoer edite o arquivo /etc/sudoer ?

    
por regmaster 05.09.2011 / 09:07

4 respostas

12

Isso depende de quanto acesso você deu às pessoas que usam o sudo. Se você deu às pessoas privilégios suficientes para habilitá-las a usar o sudo de maneira irrestrita, você tem que confiar nelas.

Você pode negar explicitamente o acesso ao comando visudo

sudouser ALL=ALL, !/usr/sbin/visudo

então

$ sudo visudo
[sudo] password for sudouser:
Sorry, user sudouser is not allowed to execute '/usr/sbin/visudo' as root on host1.lan

no entanto isso não impede que pessoas, por exemplo, executem um shell e, em seguida, executem o visudo

sudo -s
visudo

Bingo!

A única outra solução é reduzir o alcance do acesso das pessoas via sudo. Para fazer isso você teria que analisar seus requisitos de privilégio e dar-lhes acesso via sudo para apenas os comandos que eles realmente precisam usando palavras-chave do comando , etc.

    
por 05.09.2011 / 15:40
3

Usando permissões tradicionais de unix, acho que é difícil: contanto que você possa rodar qualquer comando via sudo que lhe permita editar [*], então você está meio que ferrando.

Existem outros modelos de segurança disponíveis no Linux, embora não tão amplamente implementados e configurados; por exemplo, SELinux e AppArmour. Você pode configurá-los para restringir o acesso ao que deseja.

Começando com um objetivo de "Eu quero que meus usuários de sudo possam fazer qualquer coisa " e tirar certos privilégios é provavelmente uma maneira difícil de fazer as coisas: existem muitas maneiras de modificar sudoers que não envolvem edição direta (por exemplo, substitua o script de inicialização de correio por um script que i) copie sobre novos sudoers e inicie o sendmail; reiniciar sistema; voila!)

Nesse sentido, se você confia em seus usuários para fazer qualquer coisa em seu sistema, então você deve confiar neles para fazer qualquer coisa em seu sistema (em um nível técnico, pelo menos).

    
por 05.09.2011 / 12:26
0

Pouco desajeitado, mas você poderia configurar outra máquina para ssh na (s) sua (s) caixa (s) e alertá-lo se houver uma mudança, ou se não puder ssh. Dá ao atacante uma pequena janela de oportunidade ... mas é uma redução no risco. Pode não resolver seu caso em particular embora.

    
por 05.09.2011 / 13:48
0

Eu posso estar atrasado, mas parece que isso pode ajudar os outros. Impede que o usuário sudo edite o arquivo sudoers.

sudouser ALL=ALL, !/usr/sbin/visudo, !/usr/bin/vim /etc/sudoers

certifique-se de listar todos os editores disponíveis.

    
por 29.03.2018 / 12:21

Tags