使用 NFS 安装集中式 NAS 服务器。需要禁止用户执行 sudo su

使用 NFS 安装集中式 NAS 服务器。需要禁止用户执行 sudo su

长史短谈: - 我们有一堆 Linux 服务器。

  • 许多用户使用 Linux 桌面。他们将其用作测试服务器。

  • 所有基础设施都具有通过 Quest Auth Services 链接到 AD 的身份验证服务。这为我们提供了登录脚本、启动脚本和其他内容的选项。

  • Quest 为我们提供了一个有趣的选项,那就是 SUDO 管理。我们可以通过 GPO 策略编辑 sudoers 文件。

  • 现在我们正在部署具有 cifs 和 NFS 映射功能的日立 NAS 服务器。

  • 服务器由 IT 部门管理,因此除了我们之外没有人可以访问根目录。

  • 桌面用户还将安装 NFS 共享,以便他们能够处理真实数据并从服务器读取自己的数据。

  • 桌面用户可以执行 sudo su。

  • 如果桌面用户从根用户转换为另一个用户,则 NFS 允许他们以其他用户的身份进行工作。

我想阻止他们切换用户,但仅限于 AD 用户之间,他们必须能够切换到 apache 用户或 postgres 用户。

我是不是遗漏了什么或者这会很棘手?

有人能帮我思考一下吗?

非常感谢。

答案1

我不完全确定我这里遇到了确切的问题,但让我试一试。将 /etc/sudoers 文件更改为:-

%user ALL=(apache,postgres) ALL

因此,组 user 中的任何成员都可以以 apache 或 postgres 用户身份运行任何内容。因此命令

sudo -u apache -i

会将用户组中的人员更改为 apache 用户。但是他们无法更改为 active directory 域中的每个人。

答案2

Decado 提出了一个很好的方法。

但是用户将能够以 root 身份登录,在 grub 上进入 /bin/sh 并执行任何他们想做的事情。所以... 在 sudoers 上切断它们是没有意义的,唯一的方法是通过 cifs 进入文件共享。我们将这样做。

谢谢。

相关内容