¿Es posible limitar los accesos de administración remota de un administrador utilizando Selinux?

2

Supongamos que un administrador necesita acceder a una máquina de forma remota. Los inicios de sesión de arranque están deshabilitados, pero él pertenece a la lista de sudoers. Leí que el "comando sudo" es una buena práctica porque no olvides que estás usando root y también los comandos de sudo logs (esta fue la parte sorprendente para mí). Necesito hacer un seguimiento de los comandos de administración, pero el hecho de que pueda escalar hasta la raíz hace que la tarea sea complicada porque solo puede eliminar los registros. Estaba pensando en usar selinux para ayudarme aquí. Sé que esta pregunta suena extraña pero:

¿Hay alguna forma de limitar algunos accesos a un administrador que pertenezca a la lista de sudoers o al menos proteger los registros de sus acciones?

El administrador solo puede acceder de forma remota y no se permite el acceso de raíz directamente. Doy estas reglas porque podría ser posible limitar los accesos al administrador en función del shell generado.

Saludos cordiales

BrunoMCBraga
fuente
Los comandos de sudo y los comandos de sudo logs son una buena práctica, ya que no olvida que está usando root y también puede limitarlos.
vembutech

Respuestas:

1

La cosa es que si le das a alguien privilegios de sudo, pueden convertirse en root con:

  • sudo -i
  • sudo su
  • sudo sh
  • sudo bash
  • sudo {lo que quieran shell}
  • sudo vi (en serio)
  • sudo python

Lo bueno es que puedes limitar los privilegios de sudo de forma semigranular. Aquí esta la página de manual de sudoers Para profundizar en eso un poco más. man sudoers Puede darle la misma información.

Bloqueando el acceso a su Es un poco más trivial. Aquí hay una publicación en U & amp; L que muestra cómo hacer esto. Básicamente, crea un grupo llamado "becomeroot" y le dice a PAM que compruebe si un usuario está en ese grupo antes de permitir su. No agregue el administrador a este grupo, y está de oro. Sin embargo, tendrán los permisos para cambiar esto, ¡porque tienen sudo!

Necesitas confiar en tu administrador, o quitar sudo de ellos. Si el registro es la principal preocupación, exporte los archivos .bash_history y regístrelos externamente. Aquí hay otra publicación de U & amp; L (hombre esos tipos son inteligentes) que describe el uso auditd y un servidor syslog. ¡Una vez que los registros salen de la caja, tu administrador no puede detenerlo porque ya han sido presionados!

Ohnana
fuente
Saludos cordiales Ohnana.
BrunoMCBraga