Как предотвратить sudo от выполнения файла без полномочий root?
Я хочу запретить sudo выполнять файлы, не принадлежащие пользователю root.
Итак, чтобы позволить sudo запустить такой файл, я хочу, чтобы файл был:
chown root:root filename
chmod go-w filename
Можно ли ограничить sudo таким образом?
Он также должен наследоваться графическими sudo подобными бегунами (gksudo, kdesudo, ...), но я думаю, что это может быть слишком сложно, не уверен, что.
2 ответа
Это - по-настоящему интересная идея, но не без проблем.
Вы могли добавить "полуадминистраторскую" группу (Ваш выбор на имени), поместить пользователя в ту группу вместо "sudo" группы, и затем добавить /etc/sudoers строки с помощью подстановочных знаков для соответствия общим местам корневые живые команды:
%semiadmin (ALL)=/usr/bin/*,/bin/*,/sbin/*
проблема с этим подходом - Вы, должен был бы также предотвратить кого-то использующего любого редактора (или visudo) или позволить им отредактировать своего пользователя... Если они могут сделать это, они могут поднять свои полномочия.
Проще говоря, намного легче определить точно, какие команды Вы хотите, чтобы они использовали.
список А команд Вы санировали для лазеек.
Вход в систему как владелец файла, который не является корнем и отменяет разрешение выполнения от других пользователей, использующих эту команду
chmod o-x filename