Ist es möglich, Remote-Administrationszugriffe eines Administrators mit Selinux einzuschränken?

392
BrunoMCBraga

Angenommen, der Administrator muss remote auf einen Computer zugreifen. Root-Anmeldungen sind deaktiviert, aber er gehört zur Sudoers-Liste. Ich habe gelesen, dass "Sudo-Befehl" eine gute Praxis ist, weil Sie nicht vergessen, dass Sie root- und auch Sudo-Log-Befehle verwenden (dies war der überraschende Teil für mich). Ich muss die Admin-Befehle nachverfolgen, aber die Tatsache, dass er zum Root-System eskalieren kann, macht die Aufgabe kompliziert, da er nur die Protokolle löschen kann. Ich dachte daran, Selinux zu verwenden, um mir hier zu helfen. Ich weiß, dass diese Frage seltsam klingt, aber:

Gibt es eine Möglichkeit, einige Zugriffe auf einen Admin, der zur Sudoers-Liste gehört, einzuschränken oder zumindest die Protokolle seiner Aktionen zu schützen?

Der Administrator kann nur aus der Ferne zugreifen und es ist kein Root-Zugriff direkt erlaubt. Ich gebe diese Regeln, weil es möglich sein könnte, den Zugriff auf den Administrator basierend auf der erzeugten Shell einzuschränken.

Mit freundlichen Grüßen

2
Sudo-Befehle und Sudo-Logs-Befehle sind eine bewährte Methode, da Sie nicht vergessen, dass Sie root verwenden und auch auf welche Sie einschränken können. vembutech vor 9 Jahren 0

1 Antwort auf die Frage

1
Ohnana

Die Sache ist, wenn Sie jemandem Sudo-Privilegien geben, können sie root werden mit:

  • Sudo -i
  • Sudo Su
  • Sudo Sh
  • Sudo Bash
  • sudo
  • sudo vi (ernst)
  • Sudo-Python

Das Gute ist, Sie können Sudo-Privilegien auf eine halbgranulare Art und Weise einschränken. Hier ist die Sudoers-Manpage, auf der wir noch etwas näher eingehen möchten . man sudoerskann Ihnen die gleichen Informationen geben.

Das Sperren von zu suist etwas trivialer. Hier ist ein Post zu U & L, der zeigt, wie das geht. Grundsätzlich erstellen Sie eine Gruppe mit dem Namen "becomeroot" und weisen PAM an, zu prüfen, ob sich ein Benutzer in dieser Gruppe befindet, bevor Sie su zulassen. Fügen Sie den Administrator nicht zu dieser Gruppe hinzu, und Sie sind golden. Sie haben jedoch die Berechtigung, dies zu ändern, da sie Sudo haben!

Sie müssen Ihrem Administrator vertrauen oder sudo von ihnen entfernen. Wenn die Protokollierung das Hauptanliegen ist, exportieren Sie die .bash_history-Dateien und protokollieren Sie sie extern. Hier ist ein weiterer U & L-Beitrag (Mann, den Jungs sind schlau), der die Verwendung auditdund einen Syslog-Server beschreibt. Sobald die Protokolle die Box verlassen haben, kann Ihr Administrator sie nicht mehr stoppen, da sie bereits aufgespürt wurden!

Herzliche Grüße Ohnana BrunoMCBraga vor 9 Jahren 0