Linux에서는 AD에 대해 사용자를 인증합니다. AD 사용자는 /etc/passwd에 나열되지 않습니다.
우리는 각 사용자 그룹을 위한 추가 공간을 마운트하기 위해 NFS 솔루션을 배포할 예정입니다.
sudo su 권한이 있는 사용자(A)가 루트로 이동하면 su 사용자(B)를 사용하여 NFS로 이동하여 사용자(B)를 가장할 수 있습니다.
사용자가 /etc/passwd에 나열되지 않은 경우 su 사용자에게 루트를 허용하지 않는 방법이 있습니까?
답변1
나는 당신이 당신의 문제를 다시 생각해야한다고 생각합니다. 원하는 것을 달성할 수 있는 방법은 모르겠지만... 완전히 신뢰하지 않는 sudo ALL 권한을 가진 사용자가 있는 경우 해당 권한을 제한해야 합니다.
답변2
사용자 A에게 루트 권한을 부여하려는 경우 아니요, 해당 사용자가 어떤 작업도 수행하지 못하도록 제한할 수 없습니다(어떤 블록을 설치하더라도 루트는 거의 예외를 제외하고 항상 해당 사용자를 우회할 수 있습니다). 사용자 A를 sudoer에 추가하고 이들이 실행할 수 있거나 실행할 수 없는 프로그램을 엄격하게 구성해야 합니다.
답변3
귀하의 직접적인 질문에 대답하지는 않지만 귀하의 문제는 sudo/su가 아닌 NFS에 있다고 생각합니다. 액세스 권한을 적용하기 위해 UID에 의존하기 때문에 NFSv3을 사용할 때마다 이 문제가 발생하게 될 것입니다.
사용자가 루트로 전환했다가 다른 UID로 다시 돌아가는 것을 어떻게든 방지했더라도 악의적인 사용자는 자신의 장치를 연결하거나 특별히 구성된 시스템 대신 다른 OS를 부팅하여 보호를 극복할 수 있습니다.
NFSv4 사용을 고려해 보셨나요? Kerberos를 사용하여 마운트 요청을 인증하고 액세스 권한을 시행하므로 이러한 상황에 취약하지 않습니다.