Verhindern von Sudo Su auf CentOS VPS

735
ousamakamal

Ich bin neu in Linux, ich habe einen VPS unter CentOS und ich habe einen Root-Benutzer. Ich melde mich als myuser an (den ich aus meinem Paddy-Account erstellt habe) und gebe sudo su ein, um als root Zugriff zu haben.

Jetzt möchte ich jemandem die Möglichkeit geben, alles zu installieren, was er im Server installieren möchte, aber ich möchte nicht, dass er sudo su eingeben kann und root-Zugriff erhält.

Ich habe einen Benutzer dev1 erstellt und in visudo hinzugefügt:

root ALL=(ALL) ALL dev1 ALL=(ALL) ALL

Wenn ich mich als dev1 anmelde, kann ich immer noch sudo su eingeben und root-Zugriff erhalten. Wie kann ich das verhindern?

Vielen Dank

1
"man sudo" und "man sudoers" Eugen Rieck vor 8 Jahren 0
Wenn eine Person über Shell-Zugriff verfügt und die Möglichkeit hat, "alles, was er möchte" zu installieren, hat der Benutzer tatsächlich Root-Zugriff, so ziemlich alles, was Sie sonst noch tun. Das Vorbereiten eines Pakets zur Installation einer Setuid-Root-Shell und die Installation ist nur eine kleine Hürde. a CVn vor 8 Jahren 0

1 Antwort auf die Frage

0
John Smith

Sie sollten den Benutzer "dev1" nicht als Person auflisten, die alles auf Ihrem Server tun darf, es ist gefährlich. Stattdessen sollten Sie diesem Benutzer erlauben, Paketmanager auszuführen. Dazu müssen Sie die Zeile in visudo like einfügen

dev1 ALL = NOPASSWD : /usr/bin/yum, /usr/bin/apt-get, /usr/bin/aptitude

(Normalerweise verwenden CentOS-Benutzer yum, daher habe ich auch den Pfad zu yum angegeben. Sie können es jedoch entfernen, wenn es nicht auf Ihrem VPS installiert ist.)

Bei dieser Einstellung werden Benutzer nicht erneut nach einem Kennwort gefragt, wenn sie etwas installieren. Wenn Sie jedoch erzwingen möchten, dass das Kennwort erneut eingegeben wird, können Sie verwenden

dev1 ALL = PASSWD : /usr/bin/yum, /usr/bin/apt-get, /usr/bin/aptitude

Um nicht für jeden Benutzer eine eigene Zeile zu erstellen, können Sie schließlich allen Mitgliedern der Gruppe "Benutzer" erlauben, Programme zu installieren (natürlich müssen Sie Ihren Benutzern vertrauen oder eine separate Gruppe für vertrauenswürdige Benutzer erstellen).

%users ALL = PASSWD : /usr/bin/yum, /usr/bin/apt-get, /usr/bin/aptitude

Die Installation kann jetzt als durchgeführt werden

$ sudo /usr/bin/yum install name_of_a_program

Verwandte Probleme