sudo 사용자에 대한 특정 명령 차단

tag-icon tag-icon sudo
sudo 사용자에 대한 특정 명령 차단

sudo 사용자가 루트 비밀번호를 변경하는 것을 방지하고 싶습니다. 어떻게 이럴 수있어?

답변1

금지하려는 작업을 수행하는 데 해당 명령을 사용할 수 없는지 확인한 후 화이트리스트로 선택한 일부 특정 명령만 사용자가 실행할 수 있도록 허용하는 것에 대해 이야기하고 있다면,라만 세일로팔 라고, 해결책은 간단합니다아니요이러한 사용자가 루트로 실행할 수 없도록 하려는 명령을 포함하십시오.

특히, 사용자는 passwd자신의 정보를 변경하기 위해 명령을 실행하기 위해 루트가 될 필요가 없습니다.내 자신의따라서 특정 요구 사항에 따라 실행 권한을 부여할 필요가 없을 수도 있습니다.어느 passwd루트로 사용하십시오 sudo.

그러나 사용자의 능력을 제한하는 효율적인 방법을 찾고 있다면명령을 실행할 수 있는 사람sudo위험하다고 생각되는 특정 명령을 루트로 실행하면 대답은 다음과 같습니다.이를 달성하는 효율적인 방법은 없습니다., 현재 부여하고 있는 권한을 이러한 사용자에게 부여해야 하는지 여부를 재고해야 합니다. 특정 명령을 금지하더라도 블랙리스트에 있는 몇 가지 명령을 제외하고 루트로 무엇이든 실행할 수 있는 사용자는 sudo다른 명령을 사용하여 간단히 동일한 목표를 달성할 수 있습니다.

~처럼sudo수동에서 말했다안전 예방 조치부분:

'!'에 대한 제한 연산자

명령에서 명령을 "뺄셈"하는 것은 일반적으로 잘 작동하지 않습니다.모두' !' 연산자를 사용하세요. 사용자는 원하는 명령을 다른 이름으로 복사한 다음 해당 명령을 실행하여 이 문제를 쉽게 피할 수 있습니다. 예를 들어:

bill    ALL = ALL, !SU, !SHELLS

별로 막지 않는다청구서실행에서 나열된 명령 또는껍데기왜냐하면 그는 단순히 이 명령을 다른 이름으로 복사하거나 편집기나 다른 프로그램의 쉘 이스케이프를 사용할 수 있기 때문입니다. 따라서 그러한 제한은 기껏해야 권고 사항으로 간주되어야 합니다(그리고 정책에 의해 강화되어야 함).

일반적으로 사용자에게 sudo가 있는 경우모두!사용자 사양의 ' ' 요소 에 관계없이 루트 쉘을 제공하는 자체 프로그램을 만드는 것(또는 쉘의 자체 복사본을 만드는 것)을 막을 수 있는 방법은 없습니다 .

이는 누군가에게 작업을 수행할 수 있는 능력을 부여할 수 없다는 보다 일반적인 원칙의 특별한 경우입니다.평상복동시에 특정 좁은 행동을 금지하려고 노력하여 효과적으로 제한합니다. 적어도 차단만으로는 할 수 없습니다.공통 메커니즘그들을 실행하기 위해. 그들은 언제나 다른 방법을 찾을 수 있고 아마도 그렇게 될 것입니다. 그들은 다른 방법을 찾을지도 몰라우연히라도, 따라서 이러한 방식으로는 그들의 부주의에 효과적으로 대처하지 못할 수도 있습니다.

또한 사용자가 시스템을 관리하도록 하고 싶지만 루트 암호를 변경하지 말라는 요청에 사용자가 동의할 것이라고 신뢰하지 않는 경우 실제로 중요한 어떤 방식으로든 사용자를 신뢰합니까? 당신은 정말로 그들을 모든 것에 신뢰하고 있습니까?다른그들은 어떤 능력을 가지고 있으며, 그 중 대부분은 더 파괴적입니까? 내가 그랬던 것처럼내 대답도착하다누군가가 루트 비밀번호를 설정하는 것을 막는 것은 무엇입니까?Ubuntu 시스템 관리와 ​​관련하여(그룹 멤버십은 sudo기본적으로 관리 권한을 부여합니다):

귀하는 이 그룹의 회원입니다 sudo. 시스템의 모든 파일을 삭제할 수 있습니다. 원시 데이터를 하드 드라이브에 기록하여 해당 내용을 복구 불가능하게 덮어쓸 수 있습니다. 제한적인 권한이 설정된 경우에도 다른 사용자의 파일에 액세스할 수 있습니다. 물리적 장치에 새 펌웨어를 설치할 수 있습니다. 섀도우 데이터베이스에서 사용자의 비밀번호를 덤프하고 크랙을 시도하거나 재설정할 수 있습니다. 키로거, 랜섬웨어 등 사용자 개인정보를 침해하거나 데이터를 파괴하는 악성코드를 설치할 수 있습니다. 네트워크 인터페이스로 아주 ​​이상한 일을 할 수 있습니다. 시스템이 사용자에게 통신 보안에 대해 잘못 알리게 할 수 있습니다. 당신은 할 수너의 흔적을 덮어라. 당신은 이 모든 권한과 내가 나열하지 않은 다른 권한을 악을 위해 사용할 사람들에게 줄 수 있습니다. 학대 sudo나 폴킷(Polkit) 에 관해서는그것들당신이 관심을 가져야 할 것입니다.

신뢰할 수 없는 사람을 감독 없이 집에 들여보내서는 안 되는 것은 사실이지만, 그들이 문을 열고 내부에서 들어갈 수 있기 때문은 아닙니다.*

관련 정보