소프트 링크를 생성하여 sudo 제한 명령 실행

테스트 머신 중 하나에 액세스 할 수 sudo있으며 나를 제한하는 명령은 다음과 같습니다.

user_sree@sel8585:~> sudo -l
user_sree's password:
User user_sree may run the following commands on this host:
    (ALL) ALL, (ALL) !/bin/sh, !/bin/bash, !/bin/ksh, (ALL) !/bin/su, (ALL) !/usr/bin/passwd, !/usr/sbin/useradd, !/usr/sbin/userdel, !/usr/sbin/usermod,
    !/usr/sbin/visudo

이것은 내가 달릴 수 없다는 visudo것을 의미합니다 /usr/sbin/visudo. 나는 이것을 확인했습니다 :

user_sree@sel8585:~> sudo /usr/sbin/visudo
Sorry, user user_sree is not allowed to execute '/usr/sbin/visudo' as root on sel8585.

이제 호기심에 심볼릭 링크를 만들었습니다 /usr/sbin/visudo.

ln -s /usr/sbin/visudo myvi`

이 소프트 링크를 호출하여 sudoers 파일에 액세스하려고 시도했는데 제대로 작동했습니다.

user_sree@sel8585:~> sudo /home/user_sree/myvi
myvi: /etc/sudoers.tmp unchanged

마찬가지로, 소프트 링크를 생성하여 다른 제한된 명령을 실행할 수 있습니다.

다른 사람을 위해 구성하고 싶은 경우 sudo다른 사람이 구성하지 못하게 하려면 어떻게 해야 합니까? 나는 그들이 소프트 링크를 생성하는 것을 제한하고 싶지 않습니다.

user_sree@sel8585:~> sudo -l | grep bash
    (ALL) ALL, (ALL) !/bin/sh, !/bin/bash, !/bin/ksh, (ALL) !/bin/su, (ALL) !/usr/bin/passwd, !/usr/sbin/useradd, !/usr/sbin/userdel, !/usr/sbin/usermod,

비슷하게:

user_sree@sel8585:~> sudo sh -c 'ls'
Sorry, user user_sree is not allowed to execute '/usr/bin/sh -c ls' as root on sel8585.

이제 심볼릭 링크는 mybash다음으로 연결됩니다 /bin/bash. (내 시스템에서는 /usr/bin/sh다음으로 연결됩니다 /bin/bash.)

user_sree@sel8585:~> sudo /home/user_sree/mybash -c 'ls'

빈 mybash myvi sudoers.back test.pp

user_sree@sel8585:~> ll my*
lrwxrwxrwx 1 user_sree users  9 Jul 16 14:10 mybash -> /bin/bash
lrwxrwxrwx 1 user_sree users 16 Jul 16 14:13 myvi -> /usr/sbin/visudo

첨부된:

Cmnd_Alias   NSHELLS = /bin/sh,/bin/bash,/bin/ksh
Cmnd_Alias   NSU = /bin/su
Cmnd_Alias   NCMDS = /usr/bin/passwd,/usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod,/usr/sbin/visudo

user_sree ALL=(ALL) ALL, !NSHELLS, !NSU, !NCMDS

/etc/sudoers위는 파일의 항목 입니다 .