O usuário ainda tem privilégios de sudo apesar de ser removido de todos os grupos

2

Eu tenho um usuário, digamos userX em uma máquina Centos7. Eu removi todos os grupos desse usuário e agora esse usuário está atribuído apenas ao grupo userX . No entanto, ainda posso usar sudo su e me tornar root .

Sequência de comandos:
1. SSH como usuário normal sriram .
2. sudo to userX : sudo su - userX .
3. Torne-se root: sudo su . Isso é permitido sem senha, etc. O comportamento ideal seria que userX não teria permissão para se tornar root.

Em execução: sudo -lU userX :

[sudo] password for sriram:
Matching Defaults entries for userX on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, timestamp_timeout=0

User userX may run the following commands on this host:
    (ALL) NOPASSWD: ALL
    (ALL) NOPASSWD: ALL

Onde eu poderia estar errado? Quais informações adicionais são necessárias para mim?

    
por Sriram 14.03.2016 / 07:09

1 resposta

5

Ao solucionar problemas do sudo access, sudo -l é muito útil. sudo -l imprime seus sudo privilégios e sudo -lU user imprime os privilégios sudo do usuário (se você tiver todos os privilégios).

$ sudo -l
User muru may run the following commands on laptop:
    (ALL) ALL

sudo imprime uma linha para cada regra correspondente, especificando o privilégio concedido, mas não os critérios correspondentes.

Por exemplo, com as três regras a seguir em três arquivos diferentes:

%wheel ALL = (ALL) ALL
muru ALL = (ALL:ALL) ALL
%muru ALL = (ALL) ALL

A saída pode ser:

# sudo -lU muru
User muru may run the following commands on laptop:
    (ALL) ALL
    (ALL) ALL
    (ALL : ALL) ALL

O que você pode fazer é procurar regras que concedam esses privilégios e verificar como o usuário de destino pode combiná-los. Cada linha deve corresponder a uma regra que sudo corresponde a este usuário, portanto, se houver três linhas, deve haver três regras (a menos que sua configuração sudo seja estranha e leia o mesmo arquivo duas vezes ou algo assim). p>     

por 14.03.2016 / 08:22

Tags