GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

So deaktivieren Sie „sudo su“ für Benutzer in der sudoers-Konfigurationsdatei

Dieser Beitrag beschreibt Schritte zur Verbesserung der Systemsicherheit, indem Benutzer mit sudo-Zugriff daran gehindert werden, Superuser-Privilegien durch den folgenden Befehl zu erlangen:

$ sudo su

Das sudo Der Befehl ermöglicht es einem Systemadministrator, einem Benutzer oder einer Gruppe von Benutzern die Ausführung bestimmter Befehlszeilentools mit unterschiedlichen Rechten (z. B. Superuser-Root-Rechten) zu ermöglichen, wobei nur das ursprüngliche Benutzerpasswort bekannt ist.

Während der sudo-Befehl ausgeführt wird, versucht er, einen passenden Befehl in seinen Konfigurationsdateien /etc/sudoers zu finden oder /etc/sudoers.d/; Wenn eine Übereinstimmung gefunden wird, erhält der Benutzer das Recht, den Befehl auszuführen, wenn nicht, wird das Ereignis protokolliert und der Befehl abgelehnt.

Der sudo-Befehl funktioniert, indem er die Argumente von der Befehlszeile mit jedem Eintrag in den Dateien /etc/sudoers oder /etc/sudoers.d/ abgleicht. Die erste gefundene Übereinstimmung bestimmt das Ergebnis. Jede Regel wird in ihrer Reihenfolge in der Datei /etc/sudoers getestet. Die Regel wird mit dem Beginn des Befehls abgeglichen. Wenn die Regel kürzer als der Befehl ist, wird nur der übereinstimmende Teil am Anfang des Befehls geprüft; alle Reste des Befehls werden nicht überprüft. Die Reihenfolge der /etc/sudoers-Regeln ist wichtig; Stellen Sie immer die längeren Regeln vor eine kürzere Version.

1. Melden Sie sich als Root-Konto beim Server an.

2. Sichern Sie die /etc/sudoers config-Datei.

# cp -p /etc/sudoers /etc/sudoers.ORIG

3. Bearbeiten Sie die Konfigurationsdatei /etc/sudoers.

# visudo -f /etc/sudoers

Von:

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
orarom ALL=(ALL) ALL

An:

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
orarom ALL = ALL, !/bin/su

4. Speichern Sie dann die Datei.

5. Bitte machen Sie dasselbe mit anderen Benutzerkonten in sudo.

Bestätigen

Lassen Sie uns überprüfen, ob wir den sudo-Zugriff auf den Benutzer deaktiviert haben.

$ sudo su -
[sudo] password for orarom:
Sorry, user orarom is not allowed to execute '/bin/su -' as root on testvm01.


Cent OS

  1. Defekte Sudoers-Datei reparieren – sudo:Analysefehler in /etc/sudoers in der Nähe von Zeile 21 [Ubuntu]

  2. Wie behandelt Linux mehrere aufeinanderfolgende Pfadtrennzeichen (/home////username///file)?

  3. Linux – Sudo kann /etc/sudoers nicht öffnen?

  4. Wie wird /etc/motd aktualisiert?

  5. „sudo:/etc/sudoers ist weltweit beschreibbar“ – So korrigieren Sie die Berechtigungen der sudoers-Datei

So fügen Sie Benutzer zu Sudoern in Ubuntu hinzu

So fügen Sie Benutzer zu Sudoern in CentOS hinzu

So fügen Sie Benutzer zu Sudoers in Debian hinzu

So verwenden Sie Sudo und die Sudoers-Datei

/etc/sudoers - Beleidigungen - Wie füge ich eine Liste mit Beleidigungen hinzu?

Wie generiert man benutzerdefinierte Sudoers-Dateien in Puppet, abhängig von der Umgebung, in der sie bereitgestellt werden?