Linux(CentOS)でいくつかの管理者コマンドを制限する方法
visudoルートで使用してから作成してみました。
ABC ALL=ALL,!/bin/rm,!/bin/sudo
「ABC」ユーザーが一部の重要なファイルを削除できないように制限します。
sudo rm -rf /etc/ABCユーザーではうまくいきました。スーパーユーザーが必要ないくつかの重要なファイルを入力または削除すると、Linuxは私のコマンドを拒否しました。
しかし、スクリプトに問題があります。用のスクリプトを作成すると、スクリプトは機能し、を使用してsudo rm -rf /etc/スクリプトを削除します。/etc/sudo
だからvisudoスクリプトでは動作しないようです。私は何をすべきですか?
すべてのコマンドを使用できますが、システムファイルを削除できないようにするには管理者が必要です。
ベストアンサー1
すべてのコマンドを使用できますが、システムファイルを削除できないようにするには管理者が必要です。
root uid 0はすべての権限を持っているか取得することができるため、これは不可能です(特に悪意のあるLinuxの専門家の攻撃から保護したい場合)。しかし、これも読んでください能力(7)(Linuxのみ)。
エラーを回避したい場合は、次のものを使用できます。シャテル(不変フラグの場合)。ただし、決定された管理者はこれらの「不変」ファイルを削除できます(最初に不変フラグを削除することによって)。
(悪意のあるハッカーではなく、後輩マネージャーの小さなミスが一番気になると思います)
定期的にバックアップすることをお勧めします/etc/(たぶんいくつかのリモートシステムでは)。これは常に良いことです。rmエイリアス、関数、他の実行可能ファイルなどで独自のものを持つことも、バージョンを決定することもできます/etc/(たとえば、次のように)。子、望むよりマネージャーをお待ちください)
次の内容もお読みください。設定値実行ファイルとセスルイド(2)(そしてもちろん実行(2)sudo....) システムコール(このメカニズムは && でsu使用する Unix のデフォルト保護ブロックですlogin。
しかし、信頼は基本的に社会問題であり、社会問題を解決するために純粋に技術的な解決策を望むのは賢明ではなく、無実です。