Вопросы Теги

никакая корневая оболочка sudoers политики в свободном доступе

Использовать join объединить согласующие отрезки длинной линии из этих двух файлов. Принятие имен файлов происходит после контрольных сумм (как в md5sum вывод), и не содержат пробел, это распечатает все имена файлов, которые присутствуют в обоих списках, вместе со старой контрольной суммой и новой контрольной суммой:

join -1 2 -2 2 <(sort -k 2 oldlist) <(sort -k 2 newlist)

Чтобы также видеть новые файлы передайте -a опция к join. Немного выходной постобработки удалит имена файлов, для которых не изменилась контрольная сумма.

join -a 2 -1 2 -2 2 <(sort -k 2 oldlist) <(sort -k 2 newlist) |
awk '$2 != $3'

-1
03.10.2012, 20:57
3 ответа

Я не уверен, что понимаю вопрос. Однако, если Вы даете некоторые пользовательские корневые разрешения (через sudo или безотносительно) выполнять программу и что эта программа, оказывается, обеспечивает доступ к оболочке с этими теми же полномочиями, Вы ничего не можете сделать против него.

При предоставлении некоторых полномочий выполнить определенную программу, необходимо доверять программе для того, чтобы не испортить (кроме, конечно, при реальном доверии пользователю).

0
28.01.2020, 05:11

sudo

обзор

sudo позволяет Вам давать пользователям и полномочиям суперпользователя групп. конфигурационный файл sudo может быть найден в/etc/sudoers. Как правило, каждый редактирует sudoers файл с помощью команды visudo. По умолчанию на большинстве дистрибутивов, или никакому пользователю не дают sudo полномочия, или первому созданному пользователю дают такие полномочия. После этого пользователи обычно создаются без sudo полномочий.

гибкость

sudo позволяет Вам давать каждому пользователю различные настройки или даже применять настройки к группам пользователей. Например, Вы могли дать пользовательскому администратору или администраторскому доступу группы для получения полномочий суперпользователя.

Можно также предоставить этим пользователям доступ к определенным программам. Например, можно дать Bob sudo, доступ к Кв. - добираются, если Вы доверяете Bob для установки пакетов и пакетов обновления в системе.

Ваша система, скорее всего, имеет sudoers файл, в этом случае можно открыть файл и видеть обеспеченные примеры. Я покажу Вам пример здесь, который мог бы разрешить вещи:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) NOPASSWD:ALL

Это дает любому пользователю в группе sudo полномочий выполнить любую команду куда угодно, не запрашивая пароль. Пользователь должен сначала пройти проверку подлинности (т.е.: вход в систему), но после того как это происходит, эти пользователи, будет иметь корневой доступ к машине.

tl; доктор

Большинство дистрибутивов предоставляет исходному пользователю sudo доступ, но пользователи создали, после этого не предоставлены такой доступ. Можно проверить это путем просмотра/etc/sudoers. Просто удостоверьтесь, что у пользователей нет доступа к sudo через sudoers файл, чтобы гарантировать, что никакой пользователь не может получить корневую оболочку через sudo.

1
28.01.2020, 05:11

Вы ищущий что-то вроде этого:

# Allow members of group sudo to execute any command
username  ALL = ALL, !/bin/sh, !/bin/bash, !/bin/tcsh, !/bin/csh, !/bin/ksh, !/bin/zsh, !/bin/su
0
28.01.2020, 05:11
  • 1
    по существу, хотя более всесторонний –  xenoterracide 03.10.2012, 12:26
  • 2
    Вы забыли завершение работы, останов, mkfs, dd... IMO там не является никаким безопасным способом поддержать черный список возможных опасных программ. Пойдите с белым списком вместо этого и думайте очень трудно, почему Вы хотели бы, чтобы у пользователей были полномочия пользователя root во-первых. –  Alexander Janssen 03.10.2012, 15:05
  • 3
    @xenoterracide: +1 для Alex. Нет никакого безопасного способа поддержать черный список. Пользователь всегда может cp /bin/sh ~/not_a_shell ; sudo ~/not_a_shell или sudo ex +':!/bin/sh'. Вместо того, чтобы пытаться лишить возможности, обеспечьте, поддерживал/утверждал путь, который будет контролировать и заставлять людей выровнять по ширине любое повышение к полному корню. –  bahamat 03.10.2012, 21:04
  • 4
    хорошо, который это - то, почему я спрашивал, существуют ли какие-либо загружаемые политики..., очевидно, публично контролируемые инструменты/политики, более безопасен, чем я или кто-то просто придумывающий их сам. –  xenoterracide 04.10.2012, 05:54

Теги

Похожие вопросы

  • 7
    Как постоянно изменить и STDOUT и цвет STDERR к серому? 13.04.2017
    Этот вопрос подобен, я могу настроить свою оболочку для печати STDERR и STDOUT в различных цветах? Но я ищу решение, которое позволит мне изменять и STDOUT и STDERR к ОДНОМУ цвету...
  • 0
    проблемы доступа setfacl 20.09.2013
    У меня есть список пользователей (user1, user2, user3, суперпользователь). user1, user2 и user3 принадлежат группе пользователей, названной normalusers. Теперь, я должен дать команду списка управления доступом для пользовательского суперпользователя к...
  • 1
    Команда обработки параллельно на пакет 07.11.2018
    Итак, у меня есть 10 CPU и 20 данных для обработки. Я хочу обработать данные параллельно, но я боюсь, если я просто обрабатываю 20 сразу, это сделает некоторую проблему. Итак, я хочу обрабатывать 10 данных 2 раза. Это ...
  • 3
    Gett действительно ли ОС с открытым исходным кодом работает на телефоне? Android? 14.06.2018
    Я много читал и слышал обе стороны, но все еще немного в облаке, когда дело доходит до Android. Android - это ОС с открытым исходным кодом, но когда я покупаю телефон, он поставляется с предустановленными службами и приложениями Google ...
  • 2
    Как остановить вентилятор процессора в Linux? 14.10.2014
    Я использую старый компьютер. Вентилятор процессора создает сильный шум. Иногда вентилятор процессора внезапно останавливается и не работает в течение долгого времени, и ЦП не становится горячим в эти длительные периоды, потому что я использую очень легки
  • 3
    Удалите данные из потокового буфера STDIN другой сессии TTY 13.04.2017
    Я встретился с проблемой на днях при выполнении нескольких tty сессий в отдельных окнах терминала. Я выполнял дорогую команду доступа к диску и ожидал ее для возврата. Между тем я был...
  • 140
    Как я могу установить “vi” как свой редактор по умолчанию в UNIX? 24.04.2013
    Я полагаю, что могу сделать что-то как EDITOR=vi экспорта, но я не уверен, что точно войти, и где. Как я могу установить "vi" как свой редактор по умолчанию?
  • 28
    Файлы копии с переименованием 12.08.2016
    У меня есть огромное дерево файла. Некоторые файлы имеют то же имя, но в другом случае, например, some_code.c и Some_Code.c. Таким образом, когда я пытаюсь скопировать его в файловую систему NTFS/FAT, это спрашивает меня о том, хочу ли я...
  • 2
    Как объединить CSV файлы 18.01.2017
    У меня есть CSV файлы, которые имеют вид: 1.csv 1,2,3,4,5,6,7,8 2.csv 2,4,5,7,8,8,9,5 3.csv 2,3,4,5,6,7,8,9 ..... до 18.csv. Я хочу, чтобы результат в result.csv был: 1,2,3,4,5,6,7,8,2,4,5,7,8,8,9,...
  • 68
    Почему установка использования, а не CP и mkdir? 19.05.2016
    Я видел в используемой установке многих мест-d, чтобы создать каталоги и установить-c для копирования файла. Почему бы не использовать mkdir и CP? Существует ли преимущество в использовании установки?