[MASOCH-L] POSIX CAPABILITIES -- era Re: Bloquear usuário para não alterar root
MARLON BORBA
MBORBA at trf3.jus.br
Fri Mar 20 13:46:14 -03 2009
A vantagem do uso de POSIX CAPABILITIES é que o usuário nem mesmo
precisaria saber da senha do superusuário para poder executar operações
privilegiadas. Além disso, você não precisaria levantar os comandos
manualmente e proibir no sudo: basta manter os utilitários proibidos com
a execução privativa do root, e dar aos necessários aos utilizadores as
capacidades necessárias para o seu funcionamento.
Há um artigo didático sobre ele em
http://www.linux-magazine.com.br/images/uploads/pdf_aberto/LM_48_56_58_03_segur_posix.pdf
--
Abraços,
Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário · Segurança da Informação
IPv6 Evangelist · MoReq-Jus Evangelist
TRF 3 Região
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--
Em 20/3/2009 às 11:42, Gustavo Figueira <guxtavo at gmail.com> gravou:
> # Quase root com sudo:
>
> Cmnd_Alias NONROOT=/bin/su, /usr/bin/passwd, /bin/bash, /bin/sh,
/bin/ksh,
> /bin/csh, /usr/bin/emerge, /usr/sbin/visudo, /usr/bin/sudo,
/usr/bin/vi
> /etc/sudoers, /usr/bin/vi /etc/shadow, /usr/bin/vi /etc/passwd,
/usr/bin/vi
> /etc/group
> usuario ALL=NOPASSWD:ALL, !NONROOT
>
> É preciso levantar todos os comandos que você quer que o usuário não
tenha
> acesso. Isso pra mim resolveu.
>
> Se precisar de mais ajuda: man sudoers ou joga no Pai GooGo :D
>
> Ats,
>
> Gux
More information about the masoch-l
mailing list