Вопросы Теги

исключите команды из sudo полномочий пользователя

Считайте 'человека, настраивающегося' для надлежащего разбиения дисков на разделы и почему необходимо использовать различные разделы, в отличие от того, что сказали другие плакаты. Руководство должно сопровождаться и, afaik, ВСЕ пользователи FreeBSD делят свои системы как показано.

2
17.04.2012, 15:33
2 ответа

Не используя дополнительные уровни безопасности как SELinux, Вы не можете сделать этого. Но затем это - плохая идея также, так как существует действительно много других возможностей заблокировать другого пользователя, если можно стать (почти сытыми) корневые права через sudo.

См. https://serverfault.com/questions/36759/editing-sudoers-file-to-restrict-a-users-commands

4
27.01.2020, 22:01
  • 1
    Спасибо за Ваш ответ! Был бы затем подход белого списка быть эффективным, т.е. только позволить ему использовать aptitude, или все еще было бы возможно получить корневую оболочку? –  moooeeeep 17.04.2012, 16:28
  • 2
    белый список мог работать. Но необходимо знать все функции позволенных программ: Например, если пользователь (ре) устанавливает/обновляет пакет, которые хотят перезаписать существующий конфигурационный файл, возможность предоставляется для выполнения оболочки с полными корневыми правами "решить" этот вопрос... Я не знаю, как новый PackageKit, который может быть настроен через Policykit, таким образом, что обычный пользователь может установить пакеты, обработать этот случай. Около этого пользователь может установить небезопасное программное обеспечение и использовать его для получения корневого доступа. –  jofel 17.04.2012, 17:26

Это можно сделать с помощью записи Cmnd _Псевдоним . В вашем случае решение будет похоже на:

Cmnd_Alias PASSWD = /usr/bin/passwd
username ALL=(ALL) ALL, !PASSWD
2
27.01.2020, 22:01

Теги

Похожие вопросы