[MASOCH-L] Bloquear usuário para não alterar root
MARLON BORBA
MBORBA at trf3.jus.br
Fri Mar 20 13:48:42 -03 2009
Esqueci-me de explicar: remova o SUID-BIT dos executáveis proibidos, e
daqueles que deseja permitir ative POSIX CAPABILITIES. Um usuário
não-root não consegue restabelecer o SUID-BIT nem modificar as
CAPABILITIES definidas para um utilitário.
--
Abraços,
Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário · Segurança da Informação
IPv6 Evangelist · MoReq-Jus Evangelist
TRF 3 Região
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--
Em 20/3/2009 às 11:42, Gustavo Figueira <guxtavo at gmail.com> gravou:
> # Quase root com sudo:
>
> Cmnd_Alias NONROOT=/bin/su, /usr/bin/passwd, /bin/bash, /bin/sh,
/bin/ksh,
> /bin/csh, /usr/bin/emerge, /usr/sbin/visudo, /usr/bin/sudo,
/usr/bin/vi
> /etc/sudoers, /usr/bin/vi /etc/shadow, /usr/bin/vi /etc/passwd,
/usr/bin/vi
> /etc/group
> usuario ALL=NOPASSWD:ALL, !NONROOT
>
> É preciso levantar todos os comandos que você quer que o usuário não
tenha
> acesso. Isso pra mim resolveu.
>
> Se precisar de mais ajuda: man sudoers ou joga no Pai GooGo :D
>
> Ats,
>
> Gux
>
>
>
> 2009/3/20 MARLON BORBA <MBORBA at trf3.jus.br>
>
>> Uma solução seria o uso de POSIX CAPABILITIES para os utilitários
dos
>> quais o suporte precisa fazer uso.
>>
>>
>>
>> Abraços,
>>
>> Marlon Borba, CISSP, APC DataCenter Associate
>> Técnico Judiciário - Segurança da Informação
>> IPv6 Evangelist - MoReq-Jus Evangelist
>> TRF 3a Região
>> (11) 3012-1581
>> --
>> Practically no IT system is risk free.
>> (NIST Special Publication 800-30)
>> --
>> >>> Alexandre Gorges <algorges at gmail.com> 20/03/09 11:12 >>>
>> Boa dia,
>>
>> Estou com uma dúvida com o uso do sudo.
>> Tenho alguns usuários de suporte que em alguns casos, necessitam
virar
>> root.
>>
>> No arquivo sudoers tenho configurado para que eles não consigam
alterar
>> senha usando
>> sudo passwd
>>
>> Até ai tudo bem. O sudo bloqueia.
>>
>> dag at futuro:/home/dag> sudo passwd root
>> Password:
>> Sorry, user dag is not allowed to execute '/usr/bin/passwd root' as
root
>> on
>> futuro.futurogroup.
>>
>> Mas depois que o suporte vira root com o sudo su - , é possível
mudar a
>> senha do root.
>> Alguém tem uma solução, para que mesmo depois de virado root, não
>> conseguir
>> mudar a senha ?
>>
>>
>>
>> []'s
>> Alexandre Gorges ⌘
>> http://algorges.blogspot.com
>> http://www.dag.eti.br
>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list