findでコマンドの実行を無効にできますか？

コマンドへのアクセスを提供してルールを迂回する必要があると言われましたsudo。sudo他のRBAC実装のデフォルトの拒否位置で特定のアクセスを許可するのではなく、アクセスが許可された後にアクセスをロックしようとするため、作業に最適なツールではありません。

私は制限なしにアクセスできる監査人を決して信頼しません。彼らの使命は、セキュリティプロファイルを破壊し、脆弱性を見つけることです。システムが安全になるほど、彼らと悪意のある人がロックを選ぶのが難しくなります。

ルールは順番に適用されます。sudo実行を許可するコマンドから始めて、そのコマンドのさまざまなオプションを制限するルールを追加します。sudoers以下を使用するようにファイルを変更できます。

%auditor ALL = /usr/bin/lsattr,
               /usr/bin/find, 
               ! /usr/bin/find *-exec*,
               ! /usr/bin/find *-ok*,
               ! /usr/bin/find *-delete*

これにより、監査人が-exec、-execdir、-ok、-okdir、または-deleteを使用して実行することを許可せずにfindを実行できます。また、すべてのファイルをすべてのコンテンツで上書きすることを許可するブロックと述語を考慮する-fprintこと-fprintfもできます。-fls

find no-execution.txtまたは同じコマンドもブロックしますfind . -name '*-ok*'。

tom@evil:~$ sudo id
uid=0(root) gid=0(root) groups=0(root),999(lightsd)

tom@evil:~$ sudo find . -mtime -50
.
./.bashrc
./.kshrc
./.bash_history
./.bash_logout
./.profile

tom@evil:~$ sudo find . -mtime 5 -exec ls -la {} \;
Sorry, user tom is not allowed to execute '/usr/bin/find . -mtime 5 -exec ls -la {} ;' as root on localhost.

tom@evil:~$ sudo find . -mtime -5 -name .kshrc -delete
Sorry, user tom is not allowed to execute '/usr/bin/find . -mtime -5 -name .kshrc -delete' as root on localhost.

これは良いsudoersプロファイルを構築し維持するためのPITAですが、特にコンプライアンス環境では努力する価値があると思います。

root でエスカレーションできる部分的に信頼できるユーザーにアクセス権を付与する必要がある場合は、ロギングに集中し、ロギングを回避するために「sudo su」の一部のバリエーションを使用することは廃止され、悪意のある操作と見なされますなることを明確にします。

信頼できるユーザーのサブセットがアクセスできないリモートログサーバーにログインし、ログサーバーが監視対象システムへの継続的なネットワーク接続を監視するようにします（したがって、ネットワークを停止してログエントリを単純に抑制することはできません）。