誰かがrootとしてシェルを実行するのを防ぐ方法はありますか?

誰かがrootとしてシェルを実行するのを防ぐ方法はありますか?

これは長い間考えてきて不可能だと思っていた質問です。

sudoシステム管理者が監査機能を迂回するのを防ぐことはできますかdoas?たとえば、sudo su -ルートシェルを実行していますか?

本当の質問は、「コンピュータでルートの活動を監査する方法はありますか?」です。

答え1

システム管理者がsudoまたはdoasの監査機能をバイパスするのを防ぐことはできますか?

定義によると、マネージャーマシンへのフルアクセスすべてしたがって、システム内で監査プロセスを停止し、監査ログファイルを改ざんするなどの操作も可能です。

誰かを監視/監査する必要がある場合は、rootアクセスを許可せずにsudoersファイルにユーザーを追加し、そのユーザーが自分の責任を完了するために必要な最小限のコマンドセットを使用できるようにします。

答え2

ルートにプラグを差し込むことができます。

sudo chsh root

接続済み:/sbin/nologinまたは必ず/bin/false 付属していますsudo
警告する:それ以外の場合、設定を再度変更することはできません。

または、私のFedoraシステムには、ログイン時に起動されるスクリプトディレクトリがあります/etc/profile.d。スクリプトを作成しましょうcustom
認証をスケジュールするには:

if [ $UID -eq 0 ]; then
    exit
fi
ls -l /etc/profile.d/custom

-rw-r--r-- 1 root root ...

を使用してファイルを削除し、sudoを使用して他のコマンドを実行することもできますが、sudoシェルを起動することはできません。

sudo rm /etc/profile.d/custom

関連情報