Si tengo una carpeta en /var/secret/y le doy a un usuario acceso al sudocomando, ¿hay alguna manera de permitirle tener acceso completo a cualquier otro lugar, PERO /var/secret/y no darle absolutamente ningún acceso?
sudoes altamente configurable y existe, por lo que no necesita otorgar acceso completo a los usuarios. ¿Qué necesitan exactamente para poder hacer?
Paul
Soy plenamente consciente de eso, pero expliqué lo que quería en la pregunta y para eso quiero saber una respuesta, si existe.
markzz
Usted explica que quería darles la sudoorden. ¿Pero para hacer qué? Si se les da acceso completo a la raíz, entonces la respuesta es que no se puede, porque la raíz es la raíz. Pero si desea darles la sudoorden de hacer un subconjunto de cosas, entonces la respuesta "tal vez, depende". De ahí la solicitud de aclaración.
Paul
Respuestas:
1
Esto es casi (pero no teóricamente) imposible. Una vez que el usuario tiene acceso a sudo que no está muy limitado, tiene acceso a la raíz; por ejemplo, ejecutar sudo / bin / bash creará un shell bash con privilegios de root y podrá bipass cualquier mecanismo implementado por root.
La forma teórica de hacerlo sería crear reglas de sudo que permitan al usuario hacer casi cualquier cosa que quiera / necesite, excepto la capacidad de ejecutar todos los comandos que podrían acceder a este recurso, casi con toda seguridad no es posible hacerlo en la práctica.
También puede usar SELinux o Apparmour para limitar la capacidad de acceder a los directorios, pero nuevamente, alguien con root puede deshacer esto.
Es posible que pueda frustrar el acceso al recurso especificado manteniéndolo encriptado y montando el volumen encriptado. Espero que esto no impida el acceso, pero impedirá el acceso casual. [Noto que cuando uso FUSE para montar remotamente un sistema de archivos como usuario, solo el usuario que montó el sistema de archivos puede acceder a él. Por supuesto, como soy root, puedo simplemente volver a ese usuario y ver los archivos, y sin duda hay otras formas de hacerlo] Además, si el recurso no está montado cuando el usuario tiene acceso root, y la clave es no almacenados en la memoria, tampoco pueden obtenerlo.
sudo
es altamente configurable y existe, por lo que no necesita otorgar acceso completo a los usuarios. ¿Qué necesitan exactamente para poder hacer?sudo
orden. ¿Pero para hacer qué? Si se les da acceso completo a la raíz, entonces la respuesta es que no se puede, porque la raíz es la raíz. Pero si desea darles lasudo
orden de hacer un subconjunto de cosas, entonces la respuesta "tal vez, depende". De ahí la solicitud de aclaración.Respuestas:
Esto es casi (pero no teóricamente) imposible. Una vez que el usuario tiene acceso a sudo que no está muy limitado, tiene acceso a la raíz; por ejemplo, ejecutar sudo / bin / bash creará un shell bash con privilegios de root y podrá bipass cualquier mecanismo implementado por root.
La forma teórica de hacerlo sería crear reglas de sudo que permitan al usuario hacer casi cualquier cosa que quiera / necesite, excepto la capacidad de ejecutar todos los comandos que podrían acceder a este recurso, casi con toda seguridad no es posible hacerlo en la práctica.
También puede usar SELinux o Apparmour para limitar la capacidad de acceder a los directorios, pero nuevamente, alguien con root puede deshacer esto.
Es posible que pueda frustrar el acceso al recurso especificado manteniéndolo encriptado y montando el volumen encriptado. Espero que esto no impida el acceso, pero impedirá el acceso casual. [Noto que cuando uso FUSE para montar remotamente un sistema de archivos como usuario, solo el usuario que montó el sistema de archivos puede acceder a él. Por supuesto, como soy root, puedo simplemente volver a ese usuario y ver los archivos, y sin duda hay otras formas de hacerlo] Además, si el recurso no está montado cuando el usuario tiene acceso root, y la clave es no almacenados en la memoria, tampoco pueden obtenerlo.
fuente