누군가가 루트로 쉘을 실행하는 것을 방지할 수 있는 방법이 있습니까?

Question 1

시스템 관리자가 sudo 또는 doas의 감사 기능을 우회하는 것을 방지할 수 있습니까?

정의에 따르면,관리자머신에 대한 전체 액세스모든 것따라서 시스템 내에서 감사 프로세스를 중지하고 감사 로그 파일을 변조하는 등의 작업도 가능합니다.

누군가를 모니터링/감사해야 하는 경우 루트 액세스 권한을 부여하지 말고 sudoers 파일에 사용자를 추가하고 해당 사용자가 자신의 책임을 완료하는 데 필요한 최소한의 명령 집합을 사용하도록 허용하세요.

Answer

시스템 관리자가 sudo 또는 doas의 감사 기능을 우회하는 것을 방지할 수 있습니까?

정의에 따르면,관리자머신에 대한 전체 액세스모든 것따라서 시스템 내에서 감사 프로세스를 중지하고 감사 로그 파일을 변조하는 등의 작업도 가능합니다.

누군가를 모니터링/감사해야 하는 경우 루트 액세스 권한을 부여하지 말고 sudoers 파일에 사용자를 추가하고 해당 사용자가 자신의 책임을 완료하는 데 필요한 최소한의 명령 집합을 사용하도록 허용하세요.

Question 2

루트에 플러그를 꽂을 수 있습니다.

sudo chsh root

연결됨: /sbin/nologin또는 /bin/false 반드시 와 함께 제공됩니다 sudo.
경고하다:그렇지 않으면 설정을 다시 변경할 수 없습니다.

또는 내 Fedora 시스템에는 로그인 시 시작되는 스크립트 디렉터리가 있습니다: /etc/profile.d. 스크립트를 만들어 보겠습니다 custom.
인증을 예약하려면:

if [ $UID -eq 0 ]; then
    exit
fi

ls -l /etc/profile.d/custom

-rw-r--r-- 1 root root ...

를 사용하여 파일을 삭제 sudo하고 를 사용하여 다른 명령을 실행할 수도 있지만 sudo셸을 시작할 수는 없습니다.

sudo rm /etc/profile.d/custom

Answer

루트에 플러그를 꽂을 수 있습니다.

sudo chsh root

연결됨: /sbin/nologin또는 /bin/false 반드시 와 함께 제공됩니다 sudo.
경고하다:그렇지 않으면 설정을 다시 변경할 수 없습니다.

또는 내 Fedora 시스템에는 로그인 시 시작되는 스크립트 디렉터리가 있습니다: /etc/profile.d. 스크립트를 만들어 보겠습니다 custom.
인증을 예약하려면:

if [ $UID -eq 0 ]; then
    exit
fi

ls -l /etc/profile.d/custom

-rw-r--r-- 1 root root ...

를 사용하여 파일을 삭제 sudo하고 를 사용하여 다른 명령을 실행할 수도 있지만 sudo셸을 시작할 수는 없습니다.

sudo rm /etc/profile.d/custom

관련 정보