Mengedit file sudoers untuk membatasi perintah pengguna

Apakah mungkin untuk mengedit file sudoers sehingga pengguna dapat menggunakan sudo untuk perintah apa pun kecuali untuk yang ditentukan? Saya membalikkan benar, saya percaya, bahwa file sudoers dapat diatur sehingga pengguna hanya dapat menjalankan daftar perintah yang diberikan.

Suntingan: perintah yang ingin saya ambil dihentikan dan reboot ... ini membuat saya berpikir ada panggilan sistem khusus untuk berhenti dan reboot. Bisakah Anda mengambil panggilan sistem dari pengguna? Jika tidak, apakah itu karena sistem izin unix mengaburkan panggilan sistem mengabaikannya?

Cara lain untuk melihatnya adalah bahwa jika pengguna memiliki akses root sebagian besar tidak dibatasi, mereka dapat dengan mudah mendapatkan akses root penuh.

Meskipun Anda mungkin bisa melakukan sesuatu, itu akan mudah dielakkan.

SElinux adalah cara yang mungkin, meskipun perlu banyak belajar.

Untuk melakukan apa yang Anda inginkan (biarkan formulir pengguna tetap berjalan, reboot dan shutdown), Anda harus melihat ke dalam hal-hal SElinux untuk mencegah pengguna membuat syscalls tersebut. Kalau tidak, pengguna hanya akan menjalankan / bin / sh pertama dan kemudian menjalankan / bin / berhenti tanpa melalui sudo.

Catat semua yang mereka lakukan melalui sudo, mungkin, Anda memiliki beberapa cara untuk menyampaikan maksud agar tidak melakukannya lagi.

Defaults logfile=/var/log/sudolog 

akan mencatat semua perintah yang mereka jalankan, google sedikit untuk info lebih lanjut.

Ya dan tidak ... Anda dapat mencegah pengguna menjalankan file tertentu dengan mendahului file dengan bang (!), Namun Anda tidak dapat menghentikan pengguna dari menyalin file ke lokasi lain dan kemudian menjalankannya dari sana.

User_Alias    ADMINS = peter, bob, bunny, %operator

ADMINS        ALL    = !/usr/bin/su, !SHELLS

Memberikan Akses ke File Tertentu sebagai Pengguna Lain

Jika pengguna benar-benar ingin reboot, ia akan menemukan cara. sudo -s, sudo -i, sudo $EDITOR /etc/sudoers... bisa digunakan untuk menghilangkan pembatasan Anda.

Dan pada sistem seperti Unix Anda diizinkan untuk me-reboot sistem selama Anda melakukan root (uid 0). Jika Anda menemukan cara untuk membatasi panggilan sistem itu, orang dapat melakukan ini:

pengguna $ echo b | sudo tee / proc / sysrq-trigger

atau variasi daripadanya. Atau reboot dengan menyebabkan panik kernel. Atau...

Akhirnya, memiliki akses root biasanya memberi Anda kemampuan untuk menghapus batasan apa pun yang ada.

yakin, sebagai panggilan root visudo dan mencegah 'pengguna' dari menjalankan / sbin / halt:

user ALL=(ALL) NOPASSWD: !/sbin/halt

Ada risiko dalam melakukan hal ini: sering kali ada cara untuk melakukan tindakan yang sama. Sebagai contoh, telnit 6 atau init 6 melakukan reboot juga. Mungkin ada cara untuk memaksa kernel ke core dump dan reboot juga.

Baris berikut harus membiarkan pengguna "jim" menjalankan semuanya kecuali / usr / bin / kill dan / usr / bin / su.

jim          ALL= !/usr/bin/kill,!/usr/bin/su

Ini belum teruji dan YMMV tetapi bagaimana dengan mengatur cmd_list dari perintah yang tidak ingin Anda jalankan dan kemudian gunakan! Cmd_list untuk grup / pengguna yang ditentukan?

Saya tidak memiliki akses untuk menguji ini dan hanya melihat halaman manual online di Sudoers Manual sehingga beberapa ahli akan memperbaiki saya di sini jika saya salah