Я хочу заблокировать определенную команду linux для пользователя root только с несколькими аргументами. Как и команда "df" должна быть заблокирована с аргументом -h, но должна быть доступна для других аргументов. Я знаю, как заблокировать выполнение всей команды, но никогда не блокировал при таком разделении.
1 ответ
0
Один из способов, который я могу придумать, - это использовать ограниченную оболочку, такую как rbash, и поместить скрипт df в пользовательский путь для того пользователя, где вызывается правильная команда, но это, скорее всего, не сработает.
Root - сильный парень, и если он не действительно root, как в случае с rbac/selinux, вы не сможете остановить его.
Попробуйте посмотреть, можно ли это сделать, но я в этом сомневаюсь.
Другой способ - получить исходные тексты, удалить опорный параметр (из парсера параметров будет достаточно) и перестроить двоичный файл. Это имеет свои проблемы, хотя.
- Вы теряете управление пакетами
- Вы можете очень легко создать дыры в безопасности, как это