Existe algo como um tempo de sudo?

Navegue suas respostas
4

Existe uma maneira de ter uma conta única no sudo?

Meu caso de uso é o seguinte.

Eu tenho uma estação Ubuntu sem ssh remoto permitido para essa máquina. A máquina geralmente serve como um computador de uso público. Mas às vezes eu gostaria de conceder acesso root a algumas pessoas (que conheço pessoalmente) com base em, por exemplo, Comunicação por SMS ou IM. É claro que não quero dar a eles acesso total ao root, apenas um restrito a alguns comandos como apt-get ou algo assim. De maneira alguma pretendo permitir que eles escrevam em /etc .

Mas, obviamente, não quero compartilhar a senha de root. E eu também não quero que essas pessoas tenham acesso root para sempre, nem eu quero excluir contas ou alterar senhas manualmente.

Então, pensei em criar uma quantidade (suficientemente grande) de contas de acesso root e salvar suas senhas no meu laptop ou telefone. No caso de precisar fornecer acesso root a alguém, eu apenas enviaria a ele as informações de login para uma conta que seria excluída quando o tempo limite do cache de senha do sudo terminasse.

Você acha que essa é uma boa abordagem? E se for, onde e como configurar o script de exclusão?

    
por Martin Pecka 16.11.2013 / 21:04

2 respostas

4

Eu nunca vi nada como uma vez sudo, mas você ainda pode obter uma vez sudo , configurando uma vez senhas. Há um artigo no Linux Journal, intitulado: Configurando a autenticação de senha de uso único com OTPW , que abrange as várias maneiras que você pode fazer isso. Existem 3 pacotes que eles discutem que facilitam isso:

Eu nunca usei nenhum desses, então não posso oferecer nenhuma orientação ou experiências práticas ao usar qualquer um deles, mas o artigo do LJ e as fontes que eu gostei parecem ter tudo o que seria necessário para começar.

    
por 17.11.2013 / 02:55
0

Se você der a um usuário a permissão para executar comandos arbitrários como root, eles poderão plantar um backdoor. Embora não seja fácil instalar um rootkit sem ser detectado, outras pessoas fizeram o trabalho pesado e você pode fazer o download e instalar um rootkit pré-fabricado. Portanto, do ponto de vista da segurança, um acesso raiz único não é mais restritivo que um acesso raiz permanente.

Se você confia no usuário, conceda-lhe acesso ao sudo e retire esse acesso mais tarde. Se você não confia no usuário, não conceda acesso ao sudo.

Se você deseja conceder a um usuário a permissão para executar comandos específicos, um acesso sudo por tempo limitado faz sentido. Mas não há benefício em permitir um acesso único. Dê a eles acesso em um ponto no tempo e retire esse acesso mais tarde. Por exemplo, você pode conceder um acesso de 24 horas adicionando uma linha ao arquivo sudoers e definindo um trabalho em para remover essa linha.

    
por 17.11.2013 / 22:56

Tags

Como copio / arranco uma expressão de várias linhas que digitei no prompt do ZSH? convenção em relação a dados temporários off-line