일반 사용자가 다음 명령을 사용하지 못하도록 하고 싶습니다.
- /bin/bash
- /usr/bin/sudo
- /빈/수
sudoers 파일에 추가했지만 일반 사용자는 여전히 다음 명령을 사용할 수 있습니다. 이것이 Sudoers 파일에 항목을 추가한 방법입니다.
Cmnd_Alias NOTALLOWED = /bin/sh, /bin/bash, /usr/bin/sudo, /bin/su
/bin/bash만 작동하며 sudo와 su가 작동하지 않는 경우 사용자가 전환할 수 있습니다.
답변1
귀하의 질문은 약간 혼란 스럽습니다. 사용자가 루트로 명령을 실행하는 것을 방지하고 싶다고 생각합니다. 그것이 당신이 원하는 것이라면 :
- 루트 비밀번호를 알려주지 마세요. 이미 루트 비밀번호가 있으면 변경하세요.
sudo
루트로 명령을 실행할 수 없습니다 . 파일에서 삭제하십시오suoders
.
사용자가 실행하도록 허용하면서 사용자가 su
및 같은 일부 명령을 실행하지 못하도록 비활성화하는 것은 전혀 쓸모가 없습니다. bash
다른 명령을 실행할 수 있는 수백 개의 명령(,,,,, sh
...)을 실행할 수 있습니다. 일부 명령을 블랙리스트에 추가해도 추가 보안을 얻을 수 없습니다. 사용자가 루트로 명령을 실행하는 것을 허용하지 않으려면 루트로 명령을 실행하도록 허용하지 마십시오. 파일에서 사용자를 보호하거나 실행 방법을 제공하지 않는 신중하게 선택한 명령 세트만 허용하십시오. 명령. 쉘을 실행하거나 임의의 파일을 덮어씁니다.env
perl
vi
nethack
gcc
sudoers
당신은 설정할 수 있습니다라운드 그룹이렇게 하면 이 그룹의 사용자만 su
루트 암호를 알고 있더라도 를 실행하여 루트가 될 수 있습니다. 그러나 이는 루트 비밀번호를 알고 있는 사용자가 사용하면 되기 때문에 별로 유용하지 않습니다 login
. 마찬가지로, 루트 비밀번호를 알고 있지만 알면 안되는 사용자가 있는 경우 이를 해결해야 합니다.
답변2
uid와 gid에 관한 한 그들은 루트에 속하므로 그냥 사용할 수는 없나요 chmod 750
?