użytkownicy zaczynają rootować sudo, chociaż jest ono zablokowane


0

Mam poniżej wpisy w sudoerspliku, ale użytkownicy uzyskują dostęp do katalogu głównego, trzeba to samo zablokować.

Cmnd_Alias      SUROOT=/bin/su -,/bin/su - root, /bin/su root, /usr/bin/su -, /usr/bin/su - root, /usr/bin/su root

kj ALL = (ALL) ALL,!SUROOT

ale użytkownicy mogą zostać rootem za pomocą polecenia poniżej

[kj@mytest-server1 ~]$ sudo su    
[sudo] password for kj:  
[root@mytest-server1 kj]#

Próbowałem zablokować, /bin/suale to uniemożliwia użytkownikowi przejście do dowolnego użytkownika. Po zmianie sudoerskj mam poniżej serwera

[root@mytest-server1 ~]# sudo -l -U kj 

User kj may run the following commands on this host:
    (ALL) ALL, (ALL) !/bin/su -, !/bin/su - root, !/bin/su root, !/usr/bin/su
    -, !/usr/bin/su - root, !/usr/bin/su root, !/bin/su


[kj@mytest-server1 ~]$ sudo su - appeon  
[sudo] password for kj:  
Sorry, user kj is not allowed to execute '/bin/su - appeon' as root on mytest-server1.  
[kj@mytest-server1 ~]$

3
Każdy użytkownik, który może uruchomić, sudobędzie miał dostęp do konta root. Jeśli potrzebujesz, aby użytkownicy mieli uprawnienia root do niektórych aplikacji bez ogólnego dostępu do roota, użyj SetUserIDbitu na uprawnieniach aplikacji.
AFH

1
Jeśli użytkownicy mogą korzystać z sudo, mogą uruchamiać programy uid0. Np sudo /usr/local/bin/bash. Voila, ładna skorupa jako root. Może to być nawet mniej oczywiste polecenie, takie jak uruchomienie vima i ucieczka do podpowłoki. Lub rozpoczęcie dowódcy północy lub gra w nethacka. Lub ...
Hennes,

Rozumiem ryzyko, ale chciałem sprawdzić, czy mogę w jakiś sposób ograniczyć użytkowników.
KumarJohn,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.