Могу ли я создать другое разрешение для доступа к файлам хостов, чтобы sudoer нуждался в этом дополнительном ключе для доступа к нему? Кроме того, защита паролем файла препятствует доступу ОС к нему любым другим способом?
3 ответа
3
sudo не должен предоставлять полный root-доступ всем перечисленным пользователям. Вы можете отредактировать /etc/sudoers чтобы дать определенным пользователям возможность запускать ограниченный набор команд от имени пользователя root (или другой учетной записи).
Таким образом, вы можете, например, дать некоторым пользователям разрешение на выполнение команд, которые читают определенные файлы, которые в противном случае они не смогли бы прочитать, а затем дать еще некоторым доверенным пользователям разрешение на выполнение, скажем, /bin/vi /etc/hosts ,
Обратите внимание, что вы должны быть очень осторожны с командами, которые вы включаете в /etc/sudoers . Например, если вы даете пользователю разрешение на выполнение /bin/view /etc/hosts , этот пользователь может ввести :se noro (:set noreadonly), чтобы получить доступ для записи в файл, или :!bash -l и получите корневую оболочку.
Любой, кто имеет полный доступ с правами root, зная пароль пользователя root (если он есть) или через /etc/sudoers , сможет изменять /etc/hosts независимо от того, какие у него права доступа.
Обратите внимание, что слово "доступ" относится как к чтению, так и к письму. Каждый в системе должен иметь возможность читать /etc/hosts ; Я полагаю, вы заинтересованы в доступе для записи.
1
Чтобы файл /etc /hosts работал, приложения должны иметь возможность читать его свободно; иначе это не сработает. Поэтому, если вы защитите его паролем (например, зашифруете его паролем) от возможности его прочтения, он станет бесполезным, если вы каким-либо образом не сможете ввести пароль в вызов. Что касается записи в файл; sudoer может делать все, что ему нужно, включая перезапись, так что это тоже не сработает.
0
Файл hosts имеет те же параметры доступа, что и любой другой файл. По умолчанию только пользователь root может вносить изменения. Если люди, которым вы не доверяете, знают пароль root, измените его и создайте другого пользователя с необходимыми разрешениями, и он больше не сможет изменять файлы, которые вы хотите защитить.