Unter Linux authentifizieren wir Benutzer gegenüber AD. Die AD-Benutzer sind nicht in /etc/passwd aufgeführt.
Wir sind dabei, eine NFS-Lösung einzusetzen, um für jede Benutzergruppe zusätzlichen Speicherplatz bereitzustellen.
Wenn ein Benutzer (A) mit sudo su-Berechtigungen als Root angemeldet ist, kann er sich als Benutzer (B) ausgeben, indem er einfach als su-Benutzer (B) angemeldet ist und zum NFS geht.
Gibt es eine Möglichkeit, dem Root den Zugriff auf den Su-Benutzer zu verweigern, wenn der Benutzer nicht in /etc/passwd aufgeführt ist?
Antwort1
Ich denke, Sie sollten Ihr Problem noch einmal überdenken. Ich kenne keine Möglichkeit, das zu erreichen, was Sie wollen, aber ... wenn Sie einen Benutzer mit Sudo ALL-Berechtigungen haben, dem Sie nicht vollständig vertrauen, sollten Sie diese Berechtigungen einschränken.
Antwort2
Wenn Sie Benutzer A Root-Rechte erteilen, können Sie ihn nicht daran hindern, irgendetwas zu tun (egal, welche Sperren Sie einrichten, Root kann sie immer umgehen; mit sehr wenigen Ausnahmen). Sie sollten Benutzer A zu sudoers hinzufügen und genau konfigurieren, welche Programme er ausführen kann und welche nicht.
Antwort3
Das beantwortet zwar nicht Ihre direkte Frage, aber ich glaube, Ihr Problem liegt bei NFS und nicht bei sudo/su. Dieses Problem tritt immer auf, wenn Sie NFSv3 verwenden, da es zur Durchsetzung der Zugriffsberechtigungen auf UIDs angewiesen ist.
Selbst wenn Sie Benutzer irgendwie daran hindern würden, zu Root und zurück zu einer anderen UID zu wechseln, könnte ein böswilliger Benutzer einfach sein eigenes Gerät anschließen oder anstelle Ihres speziell konfigurierten Systems ein anderes Betriebssystem booten und so den Schutz überwinden.
Haben Sie überlegt, NFSv4 zu verwenden? Es verwendet Kerberos, um Mount-Anfragen zu authentifizieren und Zugriffsberechtigungen durchzusetzen, sodass dies nicht passieren könnte.