sudo 命令的双人规则

sudo 命令的双人规则

我在 stackexchange 上浏览热门问题并找到了以下问题的答案:https://serverfault.com/a/753295/282428

我感兴趣的是“双人规则”,或者更具体地说,如何将其应用于 Linux(在本例中是 Ubuntu)系统。

需要强调的是,您无法阻止root用户做任何事情,而只能阻止它。

所以为了防止这种情况,假设我希望每个非 root 用户不仅需要密码才能运行sudo,还需要系统上也有相同限制的另一个用户的确认。

这可能吗?

答案1

这并不能回答您的确切问题,但可能值得考虑......

要求 5 位用户使用密码,就像往常一样。但是,为了登录,他们还需要一次性密码Google Authenticator 的 PAM 模块- 他们会从第 6 位用户(例如他们的经理)那里获得该信息。第 6 位用户需要在他们登录时在场,因为 OTP 仅在短时间内有效。第 6 位用户还需要 Google Authenticator - 即他们智能手机上的一款应用。

我没有尝试过这个 - 我根本没有使用过 Google Authenticator PAM 模块 - 但假设您对“第 6 个用户”方法感到满意,我认为没有理由它不起作用。根据您的需要(或偏执!),您还可以要求第 6 个用户使用 YubiKey。

相关内容