Por que posso executar o 'sudo bash', mas não o 'sudo su'?

2

Estou trabalhando na padronização do acesso do sudo em nosso ambiente. Para começar, estou entendendo a configuração atual.

Atualmente, usamos sudo bash para entrar no shell raiz sem digitar senhas. Eu entendo que dar acesso ao sudo em comandos individuais é recomendado, mas pelo menos por enquanto, eu queria um mecanismo onde digitasse nossa senha e, em seguida, obter um shell de root.

Para reiterar, sudo bash ou sudo -s funciona bem, mas quando digitei sudo su - , ele solicitou minha senha e, uma vez digitada, ela me passou uma mensagem: * Desculpe, usuário < nome de usuário > não é permitido executar '/ bin / su -' como root em lt; server name > '. Isso me deixou curioso para ver como está sudo bash funcionando.

No arquivo /etc/sudoers , vejo duas linhas relevantes neste contexto:

        root    ALL=(ALL)   ALL
        %wheel  ALL=(ALL)   ALL

E eu não faço parte do grupo %wheel . admin é meu grupo padrão em /etc/passwd e admin group não faz parte de wheel group em /etc/group . Então, para fazer o sudo su - funcionar, eu adicionei a linha abaixo ao arquivo sudoers e deu certo.

        %admin  ALL=(ALL)   ALL

Mas não consigo entender:

  • Como o sudo bash está funcionando para todos?
  • Todos são parte do grupo wheel por padrão?

Por favor, deixe-me saber se estou perdendo alguma coisa aqui. Além disso, se existem maneiras melhores de fazer as coisas.

SO: CentOS 7.2 (família Red Hat)

Acontece que há determinados arquivos em /etc/sudoers.d e é assim que sudo bash estava funcionando, mas achei que foi comentado ... Obrigado.

#includedir /etc/sudoers.d
    
por Ram Kumar 25.08.2017 / 13:40

1 resposta

2

Resposta reunida a partir de comentários:

O problema de por que sudo bash estava funcionando para alguém que não estava no grupo wheel foi resolvido pela constatação de que o arquivo de configuração sudoers principal incluía arquivos de configuração adicionais de /etc/sudoers.d (e um desses arquivos permitia isso acontecer).

E sim, o # no início de #include é confuso.

Uma outra questão sobre como dar com segurança os direitos de superusuário aos administradores do sistema foi respondida com referência à antiga pergunta " Qual é a maneira mais segura de obter privilégios de root: sudo, su ou login? ". Como fica evidente nas respostas a essa pergunta, não é uma questão direta.

Relacionados também: " Há alguma vez um bom motivo para executar o sudo su? "

    
por 25.08.2017 / 14:19

Tags