2

Предположим, что администратору нужен удаленный доступ к машине.Корневые логины отключены, но он принадлежит списку sudoers. Я читал, что "команда sudo" - хорошая практика, потому что вы не забываете, что используете root, а также команды sudo logs (это было для меня неожиданной частью). Мне нужно отслеживать команды администратора, но тот факт, что он может перейти в root, усложняет задачу, потому что он может просто удалить журналы. Я думал об использовании selinux, чтобы помочь мне здесь. Я знаю, этот вопрос звучит странно, но:

Есть ли способ ограничить доступ к администратору, который входит в список sudoers, или хотя бы защитить журналы его действий?

Администратор может получить доступ только удаленно, и прямой доступ с правами root не разрешен. Я даю эти правила, потому что можно ограничить доступ к администратору на основе созданной оболочки.

С уважением

|источник

1 ответ1

1

Дело в том, что если вы дадите кому-то привилегии sudo, они могут стать пользователем root с помощью:

  • судо
  • судо су
  • судо ш
  • судо баш
  • sudo {какую бы оболочку они не хотели}
  • судо ви (серьезно)
  • судо питон

Хорошо, что вы можете ограничить привилегии sudo полугранулярным способом. Вот справочная страница sudoers, чтобы немного подробнее остановиться на этом. man sudoers может дать вам ту же информацию.

Блокировка доступа к su немного тривиальна. Вот пост на U & L, который показывает, как это сделать. По сути, вы создаете группу с именем "становитесь" и говорите PAM, чтобы проверить, находится ли пользователь в этой группе, прежде чем разрешить su. Не добавляйте администратора в эту группу, и вы золотой. Тем не менее, у них будет разрешение изменить это, потому что у них есть sudo!

Вы должны доверять своему администратору или удалить sudo из них. Если ведение журнала является основной проблемой, экспортируйте файлы .bash_history и зарегистрируйте их внешне. Вот еще один пост U & L (человек, который эти ребята умные), который описывает использование auditd и сервера системного журнала . Как только логи покидают поле, ваш администратор не может их остановить, потому что они уже включены!

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .