Действительно ли возможно сделать типичного пользователя, который не может получить доступ к корню?
Это кажется тривиальным, который, вероятно, означает, что я неправильно понял его.
Если я понимаю это правильно:
- Один диск с/, / начальная загрузка и подкачка.
- Один диск на RAID-массиве с другими каталогами, такими как var/,/srv и т.д.
Что препятствует тому, чтобы Вы загрузились, монтируя disksand создание гибких ссылок от / до папок на RAID-массиве? Или Вы делали отдельные разделы из / var и т.д. на дисках, на которые СОВЕРШАЮТ РЕЙД?
Если это - всего один огромный объем (например, смонтированный под/my_raid) затем:
- Начальная загрузка (дополнительно однопользовательский режим, но с вещами смонтированный RW)
- Файлы копии к RAID (например, CP-r/srv/my_raid/)
- Удалите оригинал (например, mv/srv/srv.old)
- Сделайте softlink. (например, ln-s/my_raid/srv/srv)
Если Вы пробуете это / var, и / var используется затем, Вы, возможно, должны были бы загрузиться в однопользовательском режиме, или даже от liveCD.
При создании отдельных разделов на RAID-массиве затем, это становится немного более сложным. В этом случае нам нужно немного больше информации в Вашем сообщении.
По умолчанию пользователь не должен мочь нарастить себя для укоренения.
Команда su требует, чтобы они знали пароль root, и если они знают это нет ничего, что можно действительно сделать для остановки их. Избегать, чтобы маршрут не давал им пароль root.
sudo команда настроена в файле /etc/sudoers, который определяет, кто может использовать ту команду и какой пароль требуется их (их или их целевой пользователь). Пока Вы не предоставляете весь пользовательский доступ к sudo, и они не находятся ни в каких группах, разрешенных использовать sudo, этот метод закрывается для них. Если дистрибутив поставлется с sudo установите по умолчанию, это сделает Вашего исходного пользователя способным использовать его, но не должен (я надеяться), делают это для всех новых пользователей.
Иногда su и sudo настройте специальное поведение для пользователей в определенных системных группах (например. wheel) это может позволить sudo без пароля. В дополнение к вышеупомянутому совету также умно не добавить Ваших пользователей в любые ненужные группы, особенно системные группы и в особенности wheel. В определенных системах можно также найти некоторые важные файлы, идентификатор группы которых wheel, предоставление пользователям потенциально непреднамеренного доступа без потребности в расширении полномочий.
Короче говоря:
- Не давайте им пароль root,
- Удостоверьтесь, что они не находятся в группе, позволяющей sudo доступ,
- Удостоверьтесь, что sudo не настроен для предоставления всего пользовательского доступа,
- Не добавляйте пользователей ни к каким системным группам, особенно
wheel.
Обратите внимание, что они будут блокировать законные способы стать суперпользователем, но не иметь никакого эффекта на незаконные средства.
Добавим к уже сказанному, что группа wheel состоит из пользователей, которым разрешен доступ к sudo, однако в дистрибутивах Ubuntu, таких как Kali, эта группа называется sudo. Чтобы узнать, какие пользователи в настоящее время имеют доступ к sudo, вы можете использовать cat /etc/group | grep sudo. Если вы видите пользователей, которые не хотят иметь доступ sudo, просто отредактируйте /etc/group, удалив этих пользователей из группы.
Для более тонкой настройки вы можете отредактировать файл /etc/sudoers, чтобы предоставить определенным пользователям или группам доступ только к тем командам, к которым вы хотите, чтобы они имели доступ. Однако, НЕ используйте любой старый текстовый редактор!!! Вы должны использовать команду visudo, которая гарантирует, что вы не сломаете систему.
Больше информации можно найти на https://www.digitalocean.com/community/tutorials/how-to-edit-the-sudoers-file-on-ubuntu-and-centos
wheelгруппа. – David Z 06.02.2014, 23:18