Я начинаю больше узнавать о безопасности Linux и знаю немного о предоставлении частичных привилегий root, но мне нужно отменить частичные привилегии root. Скажем, у меня есть две учетные записи, admin и user . admin является основной учетной записью. user является вторичной учетной записью. Как бы настроить его так, чтобы user мог использовать sudo для выполнения всего, что он может обычно делать, кроме, скажем, изменения неизменяемого флага для определенных файлов или доступа к необработанному вводу-выводу (где он может напрямую изменять процессы и файловые системы)? Собственная система разрешений допускает такую гранулярность?

Я знаю, что есть вещь, называемая способностями, которая, похоже, обеспечивает тот уровень контроля, который мне нужен, но при ближайшем рассмотрении действует другой набор вещей. Предоставление того, что пользователю разрешено делать, гораздо более утомительно, чем указание того, чем он не является, если ваш вопрос «Что X не разрешено делать?». Документация по этому вопросу крайне скудна.

1 ответ1

0

В общем, это сложная проблема не только в Linux, но и во всех системах. Причина в том, что для предоставления полного доступа root или администратора кроме X, вы не можете просто остановиться на этом. Вам также необходимо ограничить доступ к "возможности предоставлять доступ к X", а также возможность ограничить возможность предоставлять доступ к X ... и так далее. Обычно вам приходится добавлять намного больше ограничений только для того, чтобы ограничить одну вещь, и некоторые опытные "почти" пользователи root могут найти способ обойти это и в любом случае получить полные привилегии root, если вы не сделаете это на 100% правильно. По этой причине работа в другом направлении является нормой: явно предоставьте доступ к тому, что вы хотите, чтобы они имели. Вы правы, что это может быть чрезвычайно утомительно, особенно если вам действительно нужен "root кроме X", но с точки зрения безопасности это намного безопаснее. Кроме того, когда вы начинаете создавать явные разрешения, вы, как правило, сталкиваетесь с другими вещами, которые вы не хотите, чтобы они делали тоже, например, вы, вероятно, не хотите, чтобы NearRoot мог сбросить пароль Root.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .