Quais são as melhores práticas para permissões e métodos para geralmente evitar o uso de sudo? [fechadas]

Navegue suas respostas
0

O ponto principal é que eu só quero que um usuário tenha acesso ao sudo - realmente apenas para uso em configurações e emergências. Eu nem mesmo confio em mim mesmo com acesso sudo o tempo todo. Existem melhores práticas em torno de fazer isso? Exemplos:

Conceder a um usuário / grupo acesso a uma porta específica (e não a outras) sem dar acesso ao sudo (algumas respostas são net_bind, iptables e authbind) Instale serviços como o apache de forma que os usuários possam usá-lo sem sudo Instale sistemas como node.js de uma maneira que permita Conceda ao usuário ou grupo permissões amplas para instalar programas que outros usuários possam usar, novamente sem conceder acesso sudo ou root Se eu quiser dar a alguém permissões tão amplas quanto possível, sem que eles tenham permissão para fazer algo que destruirá a máquina (clobber sudoers, clobber / etc / passwd [que literalmente acabou de acontecer comigo], evite qualquer coisa que impeça o login via ssh na raiz, etc), como eu faria isso?

O ponto principal é que eu só quero que um usuário tenha acesso ao sudo - realmente apenas para uso em configurações e emergências. Eu nem mesmo confio em mim mesmo com acesso sudo o tempo todo. Existem melhores práticas para fazer isso?

    
por B T 31.05.2015 / 09:36

1 resposta

1

Eu não sei sobre as "melhores práticas", mas se você se sentir mais confortável com sudo mais restrito do que sai da caixa, deverá IMO fazer o seguinte:

  1. faça um usuário "instalar" usuário normal que requeira login explícito, com um prompt claramente diferente e que, por meio de /etc/sudoers , seja permitido executar seu (s) programa (s) instalador (s) apt-get , yum , etc.) com priveliges de raiz.

  2. configure outro usuário nomeado com privilégios de raiz completos por meio de /etc/sudoers

O primeiro que você pode repetir para qualquer outra tarefa específica que exija privilégios de root.

Em vez do ponto dois, você pode logar explicitamente como root. As vantagens de ter uma ou mais contas especiais é que você poderia, com algum trabalho, gerar senhas para essas contas, que não são acessíveis sem você perceber ou algum esforço extra de pessoas (por exemplo, impresso e colocado em um envelope dividido em duas partes). conhecidos cada um só por uma pessoa). Combinado com recursos de registro remoto (como root pode alterar os logs nas próprias máquinas). Você pode acompanhar quem está ganhando acesso e verificar por que e se isso foi realmente necessário.

Nos últimos 30 anos, adicionei um ou outro desses "controles" de uma forma ou de outra ao Unix & Sistemas Linux. Talvez não seja à prova de idiotas, mas o suficiente para dissuadir os danos, e em uma ocasião para trazer o roubo de software à luz.

    
por 31.05.2015 / 10:13

Tags

Não é possível obter se a instrução for executada corretamente. Principiante. [duplicado] Problema no parâmetro de entrada awk no ksh