É normal que um pacote coloque um arquivo em sudoers.d?

Navegue suas respostas
0

Em /etc/sudoers.d , encontrei um arquivo chamado "nova-common". 

-r--r----- 1 root root  77 Mar 11  2015 nova-common

Conteúdo do arquivo: 

nova ALL = (root) NOPASSWD: /usr/bin/nova-rootwrap /etc/nova/rootwrap.conf *

Então eu procurei pelo pacote. Saída de dpkg-query -l nova-common 

Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  nova-common    2014.1.3-11  all          OpenStack Compute - common files

Então eu procuro a lista de arquivos do pacote no Debian: 

...
/etc/sudoers.d/nova-common
...

Então, de uma perspectiva de segurança, minha pergunta: é normal / seguro haver arquivos assim em /etc/sudoers.d ?

    
por labelcd6 30.07.2018 / 11:15

1 resposta

0

OpenStack nova é a parte do OpenStack que lida com o provisionamento de servidores virtuais, ou seja, muita configuração que normalmente requer acesso em nível de raiz. Se você quiser automatizar isso, você precisa de algum mecanismo para conceder à sua automação os direitos necessários para realizar as tarefas que deseja automatizar.

Você pode querer ler a documentação no rootwrap : é efetivamente um mecanismo que estende sudo com um mecanismo que permite a filtragem complexa de não apenas comandos, mas também de seus parâmetros. Então, em teoria, ele pode ser muito mais refinado que sudo sozinho.

Esta deve ser uma maneira muito mais amigável para a auditoria de adicionar permissões seletivas à automação do que simplesmente plantar um binário opaco com permissões setuid no sistema que precisa ser gerenciado.

    
por 30.07.2018 / 15:02

Tags

mksquashfs: como incluir caminhos de diretório absolutos completos dentro da imagem do squashfs? Subtraindo a mesma coluna entre duas linhas no awk