Пробую позволяют определенному пользователю, который находится в группе sudo
, выполнить экстренное отключение с помощью следующего кода:
echo 1 > /proc/sys/kernel/sysrq
echo o > /proc/sysrq-trigger
Отметьте, это, не используя команду sudo
!
Править: Забыл упоминать что оба файла, принадлежавшие root:root
, откажитесь позволять любое разрешение или изменения владельца, даже root
пользователь.
Хакер ставит под угрозу систему, которую обычно оставляют работать без контроля и полученных разрешений считать конфиденциальные данные. Вместо того, чтобы позволять хакеру продолжать, автоматизированный сценарий выключается, машина (предположите, что взлом был обнаружен).
В то время как не мой точный вариант использования, это достаточно подобно.
Создание сценария удара для выполнения вышеупомянутых 2 строк кода, предоставление его root:sudo
владельцы и добавление строки к visudo
позволить определенному пользователю выполнять задачу, не будучи должен ввести пароль.
Предпринятый для изменения владельца этих 2 файлов к root:sudo
.
Предпринятый для изменения полномочий этих 2 файлов, таким образом, что группа root
мог записать в них.
Идея не состоит в том, чтобы "испечь в" пароле для sudo
, то, которое позволит мне изменяться, регулярно, не забывая изменять другие файлы (или иметь процесс, который выключает компьютер, работающий с root
полномочия). Заранее спасибо за Вашу справку.
Мое мнение состоит в том, чтобы изменить Ваши строки во что-то вроде этого в Вашем сценарии:
echo 1 | sudo tee /proc/sys/kernel/sysrq > /dev/null
echo o | sudo tee /proc/sysrq-trigger > /dev/null
И предоставляют определенный пользовательский доступ для выполнения tee
команда с этими аргументами без потребности ввода пароля, чего-то как:
username ALL=(root:root) NOPASSWD: /usr/bin/tee /proc/sys/kernel/sysrq
Помнят, что не возможно перенаправить строку в файл, которому нужно определенное разрешение с помощью >
, это означает что-то как:
sudo echo hi > file
echo hi sudo > file
не собирается работать.
В то же время Вы не можете просто изменить владельца этих файлов, вызвать /proc
, виртуальная файловая система, управляемая Ядром.