sudo攻撃からフォルダを保護する

sudo攻撃からフォルダを保護する

sudoerがフォルダを表示できないようにする機能はありますか(ユーザーとルートのみフォルダにアクセスできます)。

答え1

「sudoers」がプレフィックスを使用してコマンドをrootとして実行することを許可されている人を参照していると仮定すると、ファイル内の同様の行として参照されるためsudosudoersbob ALL=(ALL) ALLはい根。ルートの定義は、ルートアカウントのパスワードを知らないが、どの手段を介してもルートアカウントにアクセスすることです。

ルート保護からデータを保護することはできません。定義によると、rootユーザーはすべての操作を実行できます。ルートは権限を変更またはバイパスする可能性があるため、権限は役に立ちません。ルートは復号化を実行するプログラムを破壊する可能性があるため、暗号化は役立ちません。

誰かが信頼できない場合は、データを保存したコンピュータにrootアクセスを許可しないでください。コンピュータへのrootアクセス権を持つ人を信頼できない場合は、そのコンピュータにデータを保存しないでください。

ユーザーが特定の目的(たとえば、簡単なアプリケーション管理、パッケージのインストールなど)にルートアクセスを必要とする場合は、独自のハードウェアを提供するか、独自の仮想マシンを提供してください。ホストシステムのルートではなく、仮想マシンのルートにします。

答え2

sudoアクセスは通常、次の方法で付与されます。

# User privilege specification

root    ALL=(ALL) ALL
user1   ALL=(ALL) ALL

この場合、ユーザーはデフォルトでルートになり、制限なしに必要なすべての操作を実行できます。これにより、sudoのさまざまなタスクへのアクセスをよりインテリジェントに付与できます。

user1  ALL=(root) /usr/bin/find, /bin/rm

ここでは、user1が使用できるコマンドをfindおよびに制限しますrm。ユーザーに特定のコマンドのみが必要であることを知っている場合は、そのコマンドにのみ排他的なアクセス権を付与できます。

また、単にコマンドを追加する代わりにスクリプトを生成することもできます。たとえば、

user1  ALL=(root) /usr/local/bin/limited_script.sh

このスクリプトはアクセスできる唯一のコマンドです。たとえば、cd /to/some/dir前のスクリプトからアクセス可能なコマンドをラップできます。これはアクセスを制限する方法です。

この方法は完全な証拠ではありませんが、一定レベルの保護を提供できます。

答え3

sudoerが実行できるコマンドが設定sudoersファイル(通常は/etc/sudoers)で制限されていsudoないと、rootsudoerがディレクトリにアクセスするのを防ぐことはできません。

答え4

ACLを使用して適切なACEエントリを設定することでこれを行うことができます。しかし、これはもっと問題です。

とにかく、これは管理者がファイル/ディレクトリの問題を解決するのにどのように役立ちますか?信頼できるユーザーを信頼するか、信頼せずに管理者を信頼する別のシステムに移動します。

関連情報