编辑 sudoers 文件以限制用户的命令

Question 1

另一种看法是，如果用户拥有基本上不受限制的根访问权限，他们就可以轻松获得完全根访问权限。

尽管你也许能够解决某些问题，但却很容易被规避。

尽管需要花费很多时间去学习，但 SElinux 仍是一种可行的方法。

Answer

另一种看法是，如果用户拥有基本上不受限制的根访问权限，他们就可以轻松获得完全根访问权限。

尽管你也许能够解决某些问题，但却很容易被规避。

尽管需要花费很多时间去学习，但 SElinux 仍是一种可行的方法。

Question 2

是也不是...您可以通过在文件前面加上感叹号（！）来阻止用户运行特定文件，但是您无法阻止用户将文件复制到另一个位置，然后从那里运行它。

User_Alias    ADMINS = peter, bob, bunny, %operator

ADMINS        ALL    = !/usr/bin/su, !SHELLS

Answer

是也不是...您可以通过在文件前面加上感叹号（！）来阻止用户运行特定文件，但是您无法阻止用户将文件复制到另一个位置，然后从那里运行它。

User_Alias    ADMINS = peter, bob, bunny, %operator

ADMINS        ALL    = !/usr/bin/su, !SHELLS

Question 3

要执行您想要的操作（让用户保持运行停止、重新启动和关闭），您必须研究 SElinux 的内容以阻止用户进行这些系统调用。否则，用户将先运行 /bin/sh，然后运行 /bin/halt，而无需通过 sudo。

Answer

要执行您想要的操作（让用户保持运行停止、重新启动和关闭），您必须研究 SElinux 的内容以阻止用户进行这些系统调用。否则，用户将先运行 /bin/sh，然后运行 /bin/halt，而无需通过 sudo。

Question 4

如果用户真的想要重启，他会找到办法的。sudo -s，，sudo -i...sudo $EDITOR /etc/sudoers可以用来解除你的限制。

在类 Unix 系统中，只要您是 root (uid 0)，就可以重新启动系统。如果您确实找到了限制这些系统调用的方法，可以这样做：

用户$ echo b | sudo tee /proc/sysrq-trigger

或其变体。或者通过引起内核崩溃来重新启动。或者...

最后，拥有 root 权限通常可以让您消除现有的任何限制。

Answer

如果用户真的想要重启，他会找到办法的。sudo -s，，sudo -i...sudo $EDITOR /etc/sudoers可以用来解除你的限制。

在类 Unix 系统中，只要您是 root (uid 0)，就可以重新启动系统。如果您确实找到了限制这些系统调用的方法，可以这样做：

用户$ echo b | sudo tee /proc/sysrq-trigger

或其变体。或者通过引起内核崩溃来重新启动。或者...

最后，拥有 root 权限通常可以让您消除现有的任何限制。

相关内容