Die Sache ist, wenn Sie jemandem Sudo-Privilegien geben, können sie root werden mit:
- Sudo -i
- Sudo Su
- Sudo Sh
- Sudo Bash
- sudo
- sudo vi (ernst)
- Sudo-Python
Das Gute ist, Sie können Sudo-Privilegien auf eine halbgranulare Art und Weise einschränken. Hier ist die Sudoers-Manpage, auf der wir noch etwas näher eingehen möchten . man sudoers
kann Ihnen die gleichen Informationen geben.
Das Sperren von zu su
ist etwas trivialer. Hier ist ein Post zu U & L, der zeigt, wie das geht. Grundsätzlich erstellen Sie eine Gruppe mit dem Namen "becomeroot" und weisen PAM an, zu prüfen, ob sich ein Benutzer in dieser Gruppe befindet, bevor Sie su zulassen. Fügen Sie den Administrator nicht zu dieser Gruppe hinzu, und Sie sind golden. Sie haben jedoch die Berechtigung, dies zu ändern, da sie Sudo haben!
Sie müssen Ihrem Administrator vertrauen oder sudo von ihnen entfernen. Wenn die Protokollierung das Hauptanliegen ist, exportieren Sie die .bash_history-Dateien und protokollieren Sie sie extern. Hier ist ein weiterer U & L-Beitrag (Mann, den Jungs sind schlau), der die Verwendung auditd
und einen Syslog-Server beschreibt. Sobald die Protokolle die Box verlassen haben, kann Ihr Administrator sie nicht mehr stoppen, da sie bereits aufgespürt wurden!