Modifica del file sudoers per limitare i comandi di un utente

È possibile modificare il file sudoers in modo che un utente possa usare sudo per qualsiasi comando tranne uno specificato? Il contrario è vero, credo, che il file sudoers può essere configurato in modo che un utente possa eseguire solo un determinato elenco di comandi.

EDIT: i comandi che voglio davvero togliere sono l'arresto e il riavvio ... questo mi fa pensare che ci siano chiamate di sistema speciali per l'arresto e il riavvio. Puoi prendere le chiamate di sistema da un utente? In caso contrario, è perché il sistema di autorizzazione unix si sottrae alle chiamate di sistema trascurandolo?

Un altro modo di osservarlo è che se gli utenti hanno un accesso root senza restrizioni, possono facilmente ottenere l'accesso root completo.

Mentre potresti essere in grado di elaborare qualcosa, sarebbe facilmente aggirabile.

Anche se Linux è un modo possibile, anche se ci vuole molto da imparare.

Per fare ciò che vuoi (mantieni il modulo utente in esecuzione di arresto, riavvio e spegnimento), dovrai esaminare le cose di SElinux per impedire all'utente di fare quelle syscall. Altrimenti l'utente eseguirà prima / bin / sh e poi eseguirà / bin / halt senza passare sudo.

Registra tutto ciò che fanno tramite sudo, presumibilmente, hai un modo per ottenere il punto per non farlo di nuovo.

Defaults logfile=/var/log/sudolog 

registrerà tutti i comandi che eseguono, google un po 'per maggiori informazioni.

Sì e no ... È possibile impedire a un utente di eseguire un file specifico precedendo il botto (!), Tuttavia non è possibile impedire a un utente di copiare il file in un'altra posizione e quindi eseguirlo da lì.

User_Alias    ADMINS = peter, bob, bunny, %operator

ADMINS        ALL    = !/usr/bin/su, !SHELLS

Concedere l'accesso a file specifici come un altro utente

Se l'utente vuole davvero riavviare, troverà un modo. sudo -s, sudo -i, sudo $EDITOR /etc/sudoers... può essere usato per rimuovere le restrizioni.

E su sistemi simili a Unix ti è permesso riavviare il sistema finché sei root (uid 0). Se trovi un modo per limitare quelle chiamate di sistema, puoi farlo:

utente $ echo b | sudo tee / proc / sysrq-trigger

o una sua variazione. O riavviare causando il panico del kernel. O...

Infine, avere l'accesso come root di solito ti dà la possibilità di rimuovere qualsiasi restrizione in atto.

certo, come root chiama visudo e impedisce a 'user' di eseguire / sbin / halt:

user ALL=(ALL) NOPASSWD: !/sbin/halt

Esiste un rischio nel fare questo: spesso ci sono modi per fare la stessa azione. Ad esempio, telnit 6 o init 6 eseguono anche un riavvio. Potrebbe esserci un modo per forzare il kernel al core dump e al riavvio.

La seguente riga dovrebbe consentire all'utente "jim" di eseguire tutto tranne / usr / bin / kill e / usr / bin / su.

jim          ALL= !/usr/bin/kill,!/usr/bin/su

Questo non è testato e YMMV, ma per quanto riguarda l'impostazione di un cmd_list dei comandi che non si desidera eseguire e quindi utilizzare! Cmd_list per il gruppo / utente specificato?

Non ho accesso a questo test e ho appena guardato la pagina di manuale online nel Manuale dei Sudatori, quindi alcuni esperti mi correggeranno qui se sbaglio