[MASOCH-L] POSIX CAPABILITIES -- era Re: Bloquear usuário para não alterar root

MARLON BORBA MBORBA at trf3.jus.br
Fri Mar 20 13:46:14 -03 2009


A vantagem do uso de POSIX CAPABILITIES é que o usuário nem mesmo
precisaria saber da senha do superusuário para poder executar operações
privilegiadas. Além disso, você não precisaria levantar os comandos
manualmente e proibir no sudo: basta manter os utilitários proibidos com
a execução privativa do root, e dar aos necessários aos utilizadores as
capacidades necessárias para o seu funcionamento.

Há um artigo didático sobre ele em

http://www.linux-magazine.com.br/images/uploads/pdf_aberto/LM_48_56_58_03_segur_posix.pdf



-- 

Abraços,

Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário · Segurança da Informação
IPv6 Evangelist · MoReq-Jus Evangelist
TRF 3 Região
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--


Em 20/3/2009 às 11:42, Gustavo Figueira <guxtavo at gmail.com> gravou:

> # Quase root com sudo:
> 
> Cmnd_Alias NONROOT=/bin/su, /usr/bin/passwd, /bin/bash, /bin/sh,
/bin/ksh,
> /bin/csh, /usr/bin/emerge, /usr/sbin/visudo, /usr/bin/sudo,
/usr/bin/vi
> /etc/sudoers, /usr/bin/vi /etc/shadow, /usr/bin/vi /etc/passwd,
/usr/bin/vi
> /etc/group
> usuario  ALL=NOPASSWD:ALL, !NONROOT
> 
> É preciso levantar todos os comandos que você quer que o usuário não
tenha
> acesso. Isso pra mim resolveu.
> 
> Se precisar de mais ajuda: man sudoers ou joga no Pai GooGo :D
> 
> Ats,
> 
> Gux




More information about the masoch-l mailing list