systemd como um bypass da configuração pam_wheel

2

Restringir su para que funcione apenas para um subconjunto de logins de usuários soa como uma boa maneira de endurecer a segurança. É para isso que o pam_wheel é.

Examples

The root account gains access by default (rootok), only wheel members can become root (wheel) but Unix authenticate non-root applicants.

su      auth     sufficient     pam_rootok.so
su      auth     required       pam_wheel.so
su      auth     required       pam_unix.so

systemd-run (e machinectl , como menciona na página man ) permite executar comandos como raiz. Ele usa o PolicyKit para autenticação / autorização. Não abre uma sessão de pam.

Então ... agora as grandes distribuições são todas padronizadas para systemd, qual é a configuração equivalente a pam_wheel, para esses métodos systemd ?

Para o endurecimento total, isso pode se aplicar a alguns outros serviços. Algumas operações libvirt estão disponíveis apenas como root. Então, por padrão, desconfio que isso não seja muito diferente do Docker. Conceder acesso ao daemon do Docker (o arquivo de soquete do qual ele lê solicitações) é equivalente ao acesso root, com muito pouco trabalho necessário.

Se isso não é tão simples de configurar como pam_wheel, existe alguma automação conveniente disponível para aplicá-lo? Pessoalmente, eu já estou usando o Ansible para alguma automação, mas estou interessado em qualquer script disponível como exemplos.

    
por sourcejedi 30.01.2018 / 23:23

0 respostas

Tags