ユーザーはrootに切り替えることを制限しますが、すべてのコマンドを実行できます

ユーザーはrootに切り替えることを制限しますが、すべてのコマンドを実行できます

rootユーザーに切り替えることに加えて、rootユーザーが実行できるすべてのコマンドを実行できるユーザーを提供したいと思います。

だからcentos7 / redhat7のsudoersファイルに以下を追加しました。

ゲスト ALL=(ALL:ALL) NOPASSWD: ALL,!/bin/su - , !/bin/su - , !/bin/su ルート

ただし、ユーザーはまだ「sudo -i」または「sudo su」を使用してrootユーザーに切り替えることができます。ユーザーが上記のコマンドを実行したり、少なくとも他の人がサーバーからルートに切り替えたりするのを防ぎながら、ルートを許可するすべてのコマンドを実行できるようにするにはどうすればよいですか。

答え1

あなたはできません。誰かに許したいなら何もないroot として root になるために su や sudo は必要ありません。サーバーへのrootアクセス権を取得するには、chownとchmodをrootとして実行することを許可するだけです。このような... passwdファイルをrootとして編集できるようにすると、rootアクセス権が付与されます。cat、echo、sed、awk、vi、vipwなどを使用して実行できます。

これは、セキュリティの世界で見たsudoの最も愚かな使用の一つです。誰かがrootとして何でも実行できるようにしますが、rootになることを許可しないでください。ええと…それはできません。

名前でルートになるのは特別なものではありません。 UID 0で実行することが重要です。誰かがしなければならないのはchmod SUID root /bin/bashで、ルートになります。または/etc/passwdのUIDを0に変更すると、ログインするとすぐにルートになります。 2つの簡単な例ですが、より多くの例があります。

ルートアクセスはシステム責任者にのみ付与する必要があります。 sudoはこの時点で冗談です...彼らがrootとしてsuになるようにしてください。制限されたroot権限を必要とするsysadmin以外のユーザーの場合は、sudoが適切ですが、非常に具体的なコマンドを許可し、UNIXオペレーティングシステムが危険なrootアクセスへのアクセスを許可しないように機能する方法を十分に知っている場合にのみ可能です。 ..つまり、vi、chown、chmod、cp、mvなどがあり、これらのコマンドのパラメータと実行モードを制限します。

関連情報