Distriggersre su su macchina

C'è un modo per consentire di su solo per gli utenti specificati (come usare visudo per sudo).

La ragione di questo è che vorrei mantenere una password semplice (debole) per il mio account principale e avere account che possono su / sudo solo essere in grado di accedere alla macchina utilizzando un pub / chiave privata.

Poi, tutti gli altri account non potrebbero essere su come root o come un account che può su.

  • Come controllare la variabile di ambiente root dall'utente di sudo?
  • Risoluzione dei problemi sudoers tramite ldap
  • Accesso a SSH_AUTH_SOCK da un altro utente non radice
  • Che cosa è un'alternativa sicura ai caratteri jolly in / etc / sudoers?
  • Abilitare dtrace senza sudo su Mac OS X?
  • Come lasciare l'utente eseguire un command contenente le virgolette nei suDer?
  • utilizzare Sudo in apache
  • Ho rotto il file / etc / sudoers su amazon EC2
  • 9 Solutions collect form web for “Distriggersre su su macchina”

    Sì, il trucco di gruppo "ruota" è disponibile anche su linux: è sufficiente configurare il pam e quindi solo i membri della ruota possono essere eseguiti su.

    Su Debian, devi distriggersre la row della ruota di /etc/pam.d/su

    Questa è sicuramente la prima cosa da fare su qualsiasi server, altrimenti qualsiasi webserver / hacked può portre ad un root hack.

    Una debole password per la root è stupida, indipendentemente dai controlli su 'su'. Anche se l'utente "root" può accedere solo a una console in una sala macchine ristretta, non permetterei che la "root" dell'utente disponga di una password debole.

    Suggerisco di disabilitare 'su' in totale e usare 'sudo' per tutto. Distriggersndo, intendo qualsiasi di:

    • Sfruttando tutti i mezzi specifici del sistema per limitare l'accesso a 'su' (come il trucco del gruppo per BSD o equivalente Linux). Si noti che non esiste uno standard formale per questo; POSIX non impone per esempio la presenza di 'su'.
    • Rimuoverlo ( rm -f /bin/su ).
    • Rimuovere i relativi bit di authorization ( chmod ox /bin/su o chmod go-x /bin/su ).
    • Rimuovere il relativo bit di authorization setuid ( chmod us /bin/su ).

    Il problema residuo con la distriggerszione di 'su' rimuovendolo o rimuovendo i bit di authorization è che alcuni script di sistema possono dipendere dal fatto che sia presente. Non esiste una soluzione particolarmente pulita per questo – ma sono generalmente pochi e lontani tra perché 'su' richiede una password e la richiesta non è gradita negli ambienti script. L'altra volta 'su' viene utilizzato quando quando 'root' esegue il command per diventare un altro utente; questo è supportto rimuovendo il bit setuid (la root dell'utente può eseguirlo, ma nessun altro può farlo in modo utile). Puoi rafforzarla eliminando anche l'authorization pubblica ed eventualmente l'esecuzione del gruppo ( chmod us,go-rwx /bin/su ).

    Se non utilizzi uno dei mezzi specifici del sistema, fai molta attenzione; prima di metterlo in produzione.

    Su FreeBSD, solo gli utenti del gruppo "ruota" sono autorizzati a su .

    Quale sistema operativo utilizza?

    Se il sistema utilizza PAM, è ansible distriggersre correttamente la Su inserendo qualcosa di simile in /etc/pam.d/su :

     # This allows root to su without passwords (normal operation) auth sufficient pam_rootok.so # Disable all other uses of su auth requisite pam_deny.so # [rest of file] 

    È ansible modificare il /etc/sudoers per controllare chi può utilizzare sudo e cosa possono fare. Se si consente a programmi che possono generare una shell (fughe di shell), un utente può fare qualsiasi cosa.

    Per maggiori dettagli, vedere la pagina man per i sudoers .

    Prima di tutto, su e sudo sono comandi completamente diversi.

    sudo consente di eseguire un singolo command come root (o un utente diverso se specificato), where il suo comportmento è controllato da / etc / sudoers .

    su eseguirà una shell come root (o un utente diverso se specificato).

    Cosa posso consigliarvi – lasciare una password di root forte e mettere tutti gli utenti che necessitano di privilegi di root in / etc / sudoers (Verifica questo articolo).

    L'altra idea, less consigliata, è quella di utilizzare script wrapper su.

    A seconda di quello che autorizza la tua macchina è ansible modificare /etc/pam.d/su o se il sistema non utilizza pam, è ansible creare un file / etc / suauth con le regole per gli utenti oi gruppi che hanno accesso a su come radice.

    Voglio solo ribadire quello che altri cercano di dire che non sono sicuro che tu abbia capito. Se si distriggers l'accesso al command su per tutti gli utenti, nessun utente, anche se ha la propria copia di su, potrà passare a un altro account utente. Ciò è dovuto al fatto che il command su deve disporre del bit di suid su root per consentire all'utente di eseguire il command per modificare il proprio UID. Sarebbe molto meglio avere una password di root molto forte, distriggersre il command su per tutti gli utenti e dare agli utenti che desiderano avere privilegi di root sudo accesso.

    Sembra che tu abbia paura della gente che ha accesso sudo condividerà la propria password con altri utenti, dando loro accesso root, che è davvero un problema che non sarà in grado di risolvere. L'utente privilegiato potrebbe sempre lasciarli sedere al proprio computer se si dispone anche di chiavi pubbliche / private. Si tratta di un privilegio di amministratore utente solo quando ti fidi di quell'utente.

    Sì. chmod su a 700 e mettere tutti quelli che si desidera utilizzare nel gruppo root, in / etc / group. Usando il sudo è tuttavia quasi certamente un'idea migliore.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.