高い権限を必要とするユーザーがどのようなルートシェルも取得できないようにしたいと思います。しかし、これを達成する方法はさまざまで、ルートではないコマンド(coreutilsのコマンドなど)が多いため、制限付きアクセスを提供するダウンロード可能なsudoersポリシーがあるかどうか疑問に思います。
答え1
Sudo
概要
sudoを使用すると、ユーザーとグループにスーパーユーザー権限を付与できます。 sudo の設定ファイルは以下にあります。/etc/sudoers。通常、人々は次のコマンドを使用してsudoersファイルを編集します。ビジュド。デフォルトで有効最大展開では、どのユーザーにもsudo権限が付与されていないか、最初に作成されたユーザーにそのような権限が付与されます。 後で作成されたユーザーには通常 sudo 権限がありません。
柔軟性
sudoを使用すると、各ユーザーに異なる設定を提供したり、ユーザーグループに設定を適用したりできます。たとえば、ユーザーに以下を提供できます。行政またはグループマネージャースーパーユーザー権限でアクセスしてください。
これらのユーザーのアクセスを許可することもできます。具体的な計画。たとえば、次のようにすることができます。単発sudo アクセス適切Bobを信頼してシステムにパッケージをインストールし、パッケージを更新する場合。
あなたのシステムにはsudoersファイルがある可能性が高く、その場合はそのファイルを開いて提供された例を見ることができます。ここでは、問題を明確にできる例を示します。
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) NOPASSWD:ALL
これにより、グループ内のすべてのユーザーが許可されます。Sudoパスワードを要求せずにどこからでもコマンドを実行する権限。ユーザーは最初に認証(つまりログイン)する必要がありますが、認証が完了すると、そのユーザーはシステムへのrootアクセス権を持っています。
長すぎます。
ほとんどのディストリビューションは初期ユーザーにsudoアクセス権を提供しますが、後で作成されたユーザーはそのようなアクセス権を受け取りません。これを見ると確認できます。/etc/sudoers。ユーザーがsudoersファイルを介してsudoにアクセスできないようにして、ユーザーがsudoを介してルートシェルを取得できないようにします。
答え2
質問を理解したかどうかはわかりません。ただし、一部のユーザーにプログラムを実行するためのroot権限(sudoなどを介して)を与え、そのプログラムが偶然に同じ権限でシェルへのアクセスを提供している場合、そのプログラムは何もできません。
特定のプログラムを実行するために特定の権限を付与すると、プログラムが問題を引き起こさないと信じる必要があります(もちろん、ユーザーを本当に信頼しない限り)。
答え3
次のようなものをお探しですか?
# Allow members of group sudo to execute any command
username ALL = ALL, !/bin/sh, !/bin/bash, !/bin/tcsh, !/bin/csh, !/bin/ksh, !/bin/zsh, !/bin/su