Вопросы Теги

Правило двух человек для команд sudo

Я был в браузере популярных вопросов по stackexchange и нашел этот ответ на вопрос: https://serverfault.com/a/753295/282428

Что меня заинтересовало, так это «два» «Правило человека», или, более конкретно, как применить его к системе Linux (в данном случае Ubuntu).

Было подчеркнуто, что вы не можете запретить пользователю root что-либо делать, вы можете только предотвратить это.

Итак, чтобы предотвратить это, допустим, я хочу, чтобы каждому пользователю без полномочий root требовался не только пароль для запуска sudo, но и подтверждение другого пользователя в системе, который также имеет такое же ограничение.

Возможно ли это сделать?

1
задан 13 April 2017 в 15:14

1 ответ

Это не отвечает на Ваш точный вопрос, но могло бы быть достойно рассмотрения...

Требуют, чтобы эти 5 пользователей использовали пароль, как нормальный. Однако для входа в систему, им также нужен одноразовый пароль для Аутентификатор Google модуль PAM - который они получили бы от 6-го пользователя (их менеджер, например). 6-й пользователь должен был бы присутствовать с ними, когда они вошли в систему, потому что OTPs только остаются допустимыми в течение короткого времени. 6-му пользователю также был бы нужен Google Authenticator - т.е. приложение по их смартфону.

я не попробовал это - я не использовал модуль Google Authenticator PAM вообще - но предположение, что Вы были счастливы с "6-м пользователем" подход, я не вижу оснований, почему он не работал бы. В зависимости от Ваших потребностей (или паранойя!) Вы могли также потребовать YubiKey для 6-го пользователя.

0
ответ дан 14 April 2017 в 01:14
  • 1
    Я вижу, что сервер человечности не находится на той ссылке. Что дает? Я использовал их ежедневную сборку, но когда делает это, становятся " официальный beta" сборка? – Imran Khakoo 10 March 2018 в 03:05

Другие вопросы по тегам:

Похожие вопросы: