remove especificando o caminho completo em sudoers

2

Estou tentando adicionar uma entrada NOPASSWD para 'sudotest.sh' (ou qualquer script / binário que exija sudo) no meu arquivo / etc / sudoers (redhat), mas para que isso funcione, devo especificar o arquivo completo caminho. A entrada a seguir funciona bem:

%jenkins ALL=(ALL)NOPASSWD:/home/vts_share/test/sudotest.sh

O problema é que o script pode ser movido para um diretório diferente. Eu tentei dar /home/*/sudotest.sh mas não funcionou para mim quando eu tentei executar o sudo ./sudotest.sh, deu-me você não tem permissão de root

Nota: Eu não posso ter permissão para o diretório / bin / sh também.

    
por sijo jose 14.02.2014 / 09:20

2 respostas

8

O caminho completo é obrigatório, caso contrário, o usuário sem privilégios poderá criar um novo script com o mesmo nome em um local arbitrário, contornando completamente a segurança que você está tentando implementar.

    
por 14.02.2014 / 09:35
2

HBrujin está absolutamente certo: você não pode fazer isso, e é uma decisão deliberada de design. No entanto, muitas vezes pode ser contornado, percebendo-se que o script ou scripts em questão muitas vezes fazem muitas das mesmas coisas sob a capa e concedendo privilégios a sudo dessa coisa, em vez da multiplicidade de scripts de wrapper.

Por exemplo, em um dos meus sites, eu estava constantemente sendo pressionado para permitir que o script " apenas mais um " tivesse o acesso sudo a um usuário ccm_root . Mas uma vez percebemos que todos esses scripts executavam o mesmo comando privilegiado /usr/bin/ccm , e que eles estavam sempre sendo escritos e executados por um pequeno grupo de desenvolvedores que eram os administradores ccm de fato , em vez disso, éramos capazes de conceder privilégios sudo a esse comando e dizer às pessoas para escreverem scripts que transformassem esse comando em vez de pedir privilégios para o script inteiro.

Isso provavelmente não ajudará em sites que usam sudo exclusivamente para controle de segurança, mas para aqueles que o usam para uma combinação de controle de integridade, segurança e auditoria, essa pode ser uma sugestão útil.

    
por 14.02.2014 / 10:02

Tags