sudo ユーザーに対する特定のコマンドのブロック

sudo ユーザーに対する特定のコマンドのブロック

sudoユーザーがrootパスワードを変更しないようにしたいと思います。どうやってこれができますか?

答え1

禁止したい操作を実行するためにそのコマンドが使用できないことを確認した後、ホワイトリストで選択した特定のコマンドのみがユーザーが実行できるようにすることについて話している場合は、ラマンセーロパル、解決は簡単ですいいえこれらのユーザーがrootとして実行できないようにするコマンドを含めます。

特に、ユーザは、passwd自分の情報を変更するためにコマンドを実行するためにルートになる必要はない。私自身したがって、特定の要件に応じて実行権限を付与する必要がない場合があります。どの passwdルートとして使用してくださいsudo

しかし、ユーザーの能力を制限する効率的な方法を探している場合コマンドを実行できる人sudo危険と思われる特定のコマンドをrootとして実行すると、答えは次のようになります。これを達成する効率的な方法はありません。、現在付与されている権限をこれらのユーザーに付与するかどうかを再考する必要があります。特定のコマンドを禁止しても、ブラックリスト内のいくつかのコマンドを除いて、ルートとして何でも実行できるユーザーは、他のコマンドを使用してsudo同じ目標を達成することができます。

〜のようにsudo手動で言った安全予防措置部分:

「!」の制限演算子

コマンドからコマンドを「減算」することは通常、うまく機能しません。みんな' !'演算子を使用してください。ユーザーは目的のコマンドを別の名前にコピーし、そのコマンドを実行してこの問題を簡単に回避できます。たとえば、

bill    ALL = ALL, !SU, !SHELLS

あまりふさがない請求書実行でリストされたコマンド またはシェルなぜなら、彼は単にこのコマンドを別の名前にコピーしたり、エディタや他のプログラムのシェルエスケープを使うことができるからです。したがって、そのような制限はせいぜい勧告と見なされるべきです(そして政策によって強化されるべきです)。

通常、ユーザーにsudoがある場合みんな!ユーザー仕様の「」要素に関係なく、ルートシェルを提供する独自のプログラムを作成する(またはシェルの独自のコピーを作成する)ことを防ぐ方法はありません。

これは、誰かに仕事をする能力を与えることができないというより一般的な原則の特別なケースです。普段着同時に、特定の狭い行動を禁止しようとし、効果的に制限します。少なくともブロックだけではできません。共通メカニズムそれらを実行するために。彼らはいつも他の方法を見つけることができ、おそらくそうするでしょう。彼らは他の方法を見つけるかもしれません。偶然でもしたがって、この方法では、彼らの不注意に効果的に対処できない可能性があります。

また、ユーザーがシステムを管理するようにしたいが、rootパスワードを変更しないように要求することに同意することを信頼していない場合は、実際に重要な方法でユーザーを信頼しますか?あなたは本当にそれらをすべてに信頼していますか?その他彼らはどんな能力を持っており、そのほとんどはより破壊的ですか?私がそうしたように私の答え到着誰かがルートパスワードを設定するのを防ぐのは何ですか?Ubuntuシステムの管理に関連して(グループメンバーシップはsudoデフォルトで管理権限を付与します):

あなたはこのグループのメンバーですsudo。システム内のすべてのファイルを削除できます。生データをハードドライブに書き込むことで、その内容を回復不可能に上書きできます。制限付き権限が設定されていても、他のユーザーのファイルにアクセスできます。物理デバイスに新しいファームウェアをインストールできます。シャドウデータベースからユーザーのパスワードをダンプし、クラックを試したりリセットしたりできます。キーロガー、ランサムウェアなど、ユーザーの個人情報を侵害したり、データを破壊するマルウェアをインストールすることができます。ネットワークインターフェースで非常に奇妙なことをすることができます。システムがユーザーに通信セキュリティについて誤って通知する可能性があります。あなたはできますあなたの痕跡を覆う。あなたはこのすべての権限と私がリストしていない他の権限を悪のために使う人に与えることができます。虐待sudoやポルキットについてそれらあなたが興味を持っている必要があります。

信頼できない人を監督なしで家に持ち帰ってはいけないのは事実ですが、彼らがドアを開けて内部から入ることができるからではありません。*

関連情報