GNU/Linux >> Belajar Linux >  >> Cent OS

Cara menonaktifkan "sudo su" untuk pengguna di file konfigurasi sudoers

Posting ini menguraikan langkah-langkah untuk memperketat keamanan sistem dengan mencegah pengguna dengan akses sudo mendapatkan hak istimewa pengguna super dengan perintah:

$ sudo su

sudo perintah memungkinkan administrator sistem untuk memungkinkan pengguna, atau sekelompok pengguna, untuk menjalankan alat baris perintah tertentu dengan hak istimewa yang berbeda (seperti hak istimewa "root" pengguna super) hanya mengetahui kata sandi pengguna asli.

Saat perintah sudo dijalankan, ia mencoba menemukan perintah yang cocok dalam file konfigurasinya /etc/sudoers atau /etc/sudoers.d/; jika kecocokan ditemukan, pengguna diberikan hak istimewa untuk menjalankan perintah, jika tidak, peristiwa tersebut dicatat dan perintah ditolak.

Perintah sudo bekerja dengan mencocokkan argumen dari baris perintah dengan setiap entri dalam file /etc/sudoers atau /etc/sudoers.d/. Kecocokan pertama yang ditemukan menentukan hasilnya. Setiap aturan diuji dalam urutannya di file /etc/sudoers. Aturan dicocokkan dengan awal perintah. Jika aturan lebih pendek dari perintah, hanya bagian yang cocok di awal perintah yang diperiksa; sisa perintah tidak dicentang. Urutan aturan /etc/sudoers penting; selalu letakkan aturan yang lebih panjang sebelum versi yang lebih pendek.

1. Login sebagai akun root ke server.

2. Cadangkan /etc/sudoers file konfigurasi.

# cp -p /etc/sudoers /etc/sudoers.ORIG

3. Edit file konfigurasi /etc/sudoers.

# visudo -f /etc/sudoers

Dari:

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
orarom ALL=(ALL) ALL

Kepada:

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
orarom ALL = ALL, !/bin/su

4. Kemudian simpan file tersebut.

5. Lakukan hal yang sama ke akun pengguna lain di sudo.

Verifikasi

Mari kita verifikasi apakah kita telah menonaktifkan akses sudo ke pengguna.

$ sudo su -
[sudo] password for orarom:
Sorry, user orarom is not allowed to execute '/bin/su -' as root on testvm01.


Cent OS

  1. Kesalahan dalam file Sudoers? Inilah cara Anda memperbaikinya.

  2. Sudo Tidak Meminta Kata Sandi Lagi?

  3. Bagaimana cara memonitor file /etc/shadow dan /etc/passwd untuk perubahan dengan Auditd?

  1. Menambahkan pengguna ke sudoer melalui skrip shell

  2. Pola regex untuk mengedit file /etc/sudoers

  3. /etc/sudoers - Penghinaan - Bagaimana cara menambahkan daftar penghinaan?

  1. Perbaiki file sudoers yang rusak – sudo:parse error di /etc/sudoers dekat baris 21 [Ubuntu]

  2. Bagaimana Linux Menangani Beberapa Pemisah Jalur Berturut-turut (/home////username///file)?

  3. Bagaimana cara menghasilkan file sudoer yang disesuaikan dalam boneka tergantung pada lingkungan tempat mereka digunakan?