ユーザーからsudoをどのように保護しますか?

ユーザーからsudoをどのように保護しますか?

免責事項:時々* nixユーザーのみ。ただ気になりました。

私が読んでいるhttps://security.stackexchange.com/questions/232924/is-sudo-almost-useless質問が重要なポイントを提起する場所

攻撃者がsudoerユーザーとしてシェルを持っている場合(またはローカルプロセスを破損した場合)、攻撃者はさまざまな特権昇格ツールの1つを使用する可能性があります。

そして回答 展示するユーザーアカウントを損傷する攻撃者がどのように簡単に破損するsudosudo~/.bashrc

1つの回答ステータス

偽物との相互作用を避けることができる限りログイン画面別の管理ユーザーアカウントと管理者以外のユーザーアカウントを持つことで、この問題を軽減できます。

sudoこれにより、特権エスカレーションメカニズムまたは実際に特権エスカレーションメカニズムを使用して同じユーザー権利を使用して偽造できない場合は、sudoerを介してルートを破損するのがはるかに困難になると思いました。

それでは、ユーザーとして私が使用する権限エスカレーションメカニズムが事前権限エスカレーションなしで変更されないことをどのように保証できますか?

メモ:xkcd/1200もちろん適用されます。

答え1

特定の違反からアカウントを保護するには、その権限を削除してください。.bashrcその他のファイル(bashおよび他のシェルの場合)を/etc/shells変更できないように設定します。

または、Apparmor / SELinuxを使用してこれらのファイルへの書き込みアクセスを制限します。

関連情報