Mam poniżej wpisy w sudoers
pliku, ale użytkownicy uzyskują dostęp do katalogu głównego, trzeba to samo zablokować.
Cmnd_Alias SUROOT=/bin/su -,/bin/su - root, /bin/su root, /usr/bin/su -, /usr/bin/su - root, /usr/bin/su root
kj ALL = (ALL) ALL,!SUROOT
ale użytkownicy mogą zostać rootem za pomocą polecenia poniżej
[kj@mytest-server1 ~]$ sudo su
[sudo] password for kj:
[root@mytest-server1 kj]#
Próbowałem zablokować, /bin/su
ale to uniemożliwia użytkownikowi przejście do dowolnego użytkownika. Po zmianie sudoers
kj mam poniżej serwera
[root@mytest-server1 ~]# sudo -l -U kj
User kj may run the following commands on this host:
(ALL) ALL, (ALL) !/bin/su -, !/bin/su - root, !/bin/su root, !/usr/bin/su
-, !/usr/bin/su - root, !/usr/bin/su root, !/bin/su
[kj@mytest-server1 ~]$ sudo su - appeon
[sudo] password for kj:
Sorry, user kj is not allowed to execute '/bin/su - appeon' as root on mytest-server1.
[kj@mytest-server1 ~]$
sudo /usr/local/bin/bash
. Voila, ładna skorupa jako root. Może to być nawet mniej oczywiste polecenie, takie jak uruchomienie vima i ucieczka do podpowłoki. Lub rozpoczęcie dowódcy północy lub gra w nethacka. Lub ...
sudo
będzie miał dostęp do konta root. Jeśli potrzebujesz, aby użytkownicy mieli uprawnienia root do niektórych aplikacji bez ogólnego dostępu do roota, użyjSetUserID
bitu na uprawnieniach aplikacji.