sudo 사용자의 특정 명령 차단

tag-icon tag-icon sudo
sudo 사용자의 특정 명령 차단

sudo 사용자가 루트 비밀번호를 변경하지 못하도록 차단하고 싶습니다. 그게 어떻게 가능해?

답변1

금지하려는 작업을 수행하는 데 사용할 수 없는지 확인한 후 화이트리스트로 선택한 몇 가지 특정 명령만 실행할 수 있는 사용자에 대해 이야기하는 경우 다음과 같습니다.라만 세일로팔 라고, 해결책은 간단합니다.~ 아니다해당 사용자가 루트로 실행할 수 없도록 하고 싶은 명령을 모두 포함하세요.

특히, 사용자는 passwd자신의 정보를 변경하기 위해 명령을 실행하기 위해 루트가 될 필요가 없습니다.소유하다따라서 특정 요구 사항에 따라 실행 기능을 제공할 필요가 없을 수도 있습니다.어느 passwd.sudo

그러나 사용자의 능력을 제한하는 효과적인 방법을 찾고 있다면당신이 어떤 명령이라도 실행할 수 있도록 허용한 사람위험하다고 생각되는 특정 명령을 실행하지 않고 루트로 로그인하면 sudo대답은 다음과 같습니다.그것을 달성하는 효과적인 방법은 없습니다, 대신 현재 사용자에게 제공하고 있는 권한을 해당 사용자에게 제공해야 하는지 재고해야 합니다. 특정 명령을 허용하지 않더라도 블랙리스트에 있는 몇 가지 명령만 루트로 실행할 수 있는 사용자는 sudo다른 명령을 사용하여 정확히 동일한 목표를 달성할 수 있습니다.

처럼매뉴얼sudo에서 말한다보안 참고사항부분:

'!'의 제한 사항 운영자

일반적으로 명령을 "빼는" 것은 효과적이지 않습니다.모두' !' 연산자를 사용합니다. 사용자는 원하는 명령을 다른 이름으로 복사한 다음 실행함으로써 이를 간단하게 피할 수 있습니다. 예를 들어:

bill    ALL = ALL, !SU, !SHELLS

별로 막지도 않음청구서다음에 나열된 명령을 실행하여 또는껍질그 명령을 다른 이름으로 복사하거나 편집기나 다른 프로그램에서 쉘 이스케이프를 사용할 수 있기 때문입니다. 따라서 이러한 종류의 제한은 기껏해야 권고사항으로 간주되어야 합니다(그리고 정책에 의해 강화되어야 합니다).

일반적으로 사용자가 sudo를 가지고 있는 경우모두!사용자 사양의 ' ' 요소에 관계없이 루트 쉘을 제공하는 자체 프로그램을 만드는 것(또는 쉘의 복사본을 만드는 것)을 막을 수 있는 방법은 없습니다 .

이는 누군가에게 수행 능력을 부여할 수 없다는 보다 일반적인 원칙의 특별한 경우입니다.임의의제한된 작업을 금지하려고 시도하여 효과적으로 제한하는 동시에 시스템의 작업을 제한합니다. 적어도 단순히 차단하는 것만으로는 그렇게 할 수 없습니다.일반적인 메커니즘이를 수행하는 데 사용되는 것입니다. 그들은 언제나 다른 방법을 찾을 수 있고 그렇게 할 수도 있습니다. 그들은 다른 방법을 찾을 수도 있습니다우연히라도, 따라서 이런 방식으로는 그들의 부주의에도 효과적으로 맞서 싸울 수 없을 것입니다.

또한 시스템을 관리하고 싶지만 루트 암호 변경을 자제하라는 요구에 응할 수 없다고 신뢰하는 사용자가 있는 경우 실제로 중요한 어떤 방식으로든 해당 사용자를 신뢰합니까? 당신은 정말로 그들을 모든 것에 대해 신뢰합니까?다른그들이 가지고 있는 능력 중 대부분은 훨씬 더 파괴적입니까? 내가 쓴대로내 대답에게누군가가 루트 비밀번호를 설정하는 것을 막는 것은 무엇입니까?Ubuntu 시스템 관리에 대한 정보(기본적으로 그룹의 구성원이 sudo관리 권한을 부여함):

귀하는 그룹의 구성원입니다 sudo. 시스템의 모든 파일을 삭제할 수 있습니다. 원시 데이터를 하드 디스크에 기록하여 복구 불가능하게 덮어쓸 수 있습니다. 다른 사용자가 제한적인 권한을 설정한 경우에도 해당 사용자의 파일에 액세스할 수 있습니다. 물리적 장치에 새 펌웨어를 설치할 수 있습니다. 섀도우 데이터베이스에서 사용자의 비밀번호를 덤프하고 크랙을 시도하거나 재설정할 수 있습니다. 키로거, 랜섬웨어 등 사용자의 개인정보를 침해하거나 데이터를 파괴하는 악성코드를 설치할 수 있습니다. 네트워크 인터페이스로 정말 이상한 일을 할 수 있습니다. 시스템이 사용자에게 통신 보안에 대해 잘못된 정보를 제공하도록 할 수 있습니다. 당신은 할 수 있습니다너의 흔적을 덮어라. 당신은 이 모든 권한과 내가 나열하지 않은 다른 권한을 악을 위해 사용할 사람들에게 넘겨줄 수 있습니다. 오용이나 Polkit에 관해서는 sudo,저것들당신이 걱정해야 할 종류의 것들입니다.

신뢰할 수 없는 사람을 감독 없이 집에 들여보내서는 안 되는 것은 사실이지만, 그렇지 않은 이유는 그들이 내부에서 문을 열고 들어갈 수 있기 때문입니다.*

관련 정보