Se você estiver bloqueando a capacidade dos usuários de executar scripts por meio de sudo
, você poderá usar a funcionalidade digest
.
Você pode especificar o hash de um script / executável em sudoers
, que será verificado por sudo
antes de ser executado. Portanto, embora não seja o mesmo que assinar, ele fornece uma garantia básica de que o script não foi modificado, pelo menos, sem que os sudoers também sejam modificados.
If a command name is prefixed with a Digest_Spec, the command will only match successfully if it can be verified using the specified SHA-2 digest. This may be useful in situations where the user invoking sudo has write access to the command or its parent directory. The following digest formats are supported: sha224, sha256, sha384 and sha512. The string may be specified in either hex or base64 format (base64 is more compact). There are several utilities capable of generating SHA-2 digests in hex format such as openssl, shasum, sha224sum, sha256sum, sha384sum, sha512sum.