[MASOCH-L] Bloquear usuário para não alterar root

Gustavo Figueira guxtavo at gmail.com
Fri Mar 20 11:42:08 -03 2009


# Quase root com sudo:

Cmnd_Alias NONROOT=/bin/su, /usr/bin/passwd, /bin/bash, /bin/sh, /bin/ksh,
/bin/csh, /usr/bin/emerge, /usr/sbin/visudo, /usr/bin/sudo, /usr/bin/vi
/etc/sudoers, /usr/bin/vi /etc/shadow, /usr/bin/vi /etc/passwd, /usr/bin/vi
/etc/group
usuario  ALL=NOPASSWD:ALL, !NONROOT

É preciso levantar todos os comandos que você quer que o usuário não tenha
acesso. Isso pra mim resolveu.

Se precisar de mais ajuda: man sudoers ou joga no Pai GooGo :D

Ats,

Gux



2009/3/20 MARLON BORBA <MBORBA at trf3.jus.br>

> Uma solução seria o uso de POSIX CAPABILITIES para os utilitários dos
> quais o suporte precisa fazer uso.
>
>
>
> Abraços,
>
> Marlon Borba, CISSP, APC DataCenter Associate
> Técnico Judiciário - Segurança da Informação
> IPv6 Evangelist - MoReq-Jus Evangelist
> TRF 3a Região
> (11) 3012-1581
> --
> Practically no IT system is risk free.
> (NIST Special Publication 800-30)
> --
> >>> Alexandre Gorges <algorges at gmail.com> 20/03/09 11:12 >>>
> Boa dia,
>
> Estou com uma dúvida com o uso do sudo.
> Tenho alguns usuários de suporte que em alguns casos, necessitam virar
> root.
>
> No arquivo sudoers tenho configurado para que eles não consigam alterar
> senha usando
>  sudo passwd
>
> Até ai tudo bem. O sudo bloqueia.
>
> dag at futuro:/home/dag> sudo passwd root
> Password:
> Sorry, user dag is not allowed to execute '/usr/bin/passwd root' as root
> on
> futuro.futurogroup.
>
> Mas depois que o suporte vira root com o sudo su - , é possível mudar a
> senha do root.
> Alguém tem uma solução, para que mesmo depois de virado root, não
> conseguir
> mudar a senha ?
>
>
>
> []'s
>  Alexandre Gorges ⌘
> http://algorges.blogspot.com
> http://www.dag.eti.br
> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list