comment nier "sudo su"

J'ai plusieurs servers où certains users doivent être des sudoers pour fonctionner. Le problème est que lorsque les sudoers peuvent exécuter la command sudo su et se connecter en tant que root user. Il semble très risqué d'exécuter cette command.

J'ai essayé avec Command Alias ​​dans le file / etc / sudoers mais cela n'a pas fonctionné. Y a-t-il une façon d'être des sudoers mais pas de la command sudo su ?

3 Solutions collect form web for “comment nier "sudo su"”

% sudo ALL = (ALL) NOPASSWD: ALL

Vous avez effectivement donné aux users dans le groupe sudo un contrôle total sans ressortingction sur votre système. En essayant de les nier, l'access au su binary est comme d'autres ont noté futile car ils ont déjà un privilège de root via sudo et l'appartenance au groupe.

Vous devez parsingr le stream de travail des users dans le groupe sudo pour déterminer les commands qu'ils doivent exécuter en tant que root et utiliser sudo pour leur donner un access privilégié à ces commands uniquement. Si nécessaire écrire des scripts et donner l'access au groupe sudo pour exécuter le script (assurez-vous qu'ils n'ont pas d'access à l'écriture bien) plutôt que les commands individuelles en son sein.

Par exemple, vous pouvez déterminer que vos users doivent pouvoir utiliser kill et toutes les commands dans le directory /usr/local/sudocmds (où vivent vos scripts locaux) afin que vous leur donniez un access sudo

 %sudo ALL=NOPASSWD: /usr/bin/kill, /usr/local/sudocmds 

Vous pouvez également utiliser des alias de command

 Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump %sudo ALL=NOPASSWD: PRINTING, DUMPS, /usr/bin/kill, /usr/local/sudocmds 

Ce qui ajoute les commands dans PRINTING et DUMPS Cmnd_Alias ​​à la list des commands que le groupe sudo peut exécuter.

Jetez un coup d'œil à la page du manuel sudoers pour plus d'informations et d'exemples.

Afin d'éviter cela correctement, vous devez adopter une approche différente.
Si vous refusez sudo su je peux toujours exécuter sudo -u root /bin/sh si vous refusez cela, j'écrirai un petit script wrapper et l'exécuterai …

La seule façon de résoudre ceci est de ne permettre que les commands nécessaires.

Il n'est pas clair ce que vous avez fait, mais vous pouvez accorder des privilèges sudo pour certains users / groupes et pour des commands spécifiques. Afin d'get une meilleure aide, il sera préférable de fournir plus d'informations comme le contenu du file sudoers et ce que vous avez essayé exactement.

  • Sudo comme user et écran d'exécution différents
  • Erreur lors de l'utilisation de sudo
  • Utilisation de sudo dans un script
  • su à moi-même sans mot de passe
  • Exécuter la tâche de construction dans Hudson avec privilèges racine
  • Lier le programme shell à l'user en tant que root
  • Comment activer l'access des users non sudo au sumt avec tous les process?
  • Quelles sont les implications pour la security de la désactivation requirejse chez les sudoers?
  • Comment forcer sudo à utiliser le ticket Kerberos existant?
  • Ansible ssh en tant qu'user et exécution a racine (attendez-vous)
  • Besoin d'utiliser sudo avec ssh
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.