iT邦幫忙

0

Linux 委派工作

匿名 2010-02-03 17:41:0210501 瀏覽
  • 分享至 

  • xImage

我想委派root工作給使用者mary,但是mary此使用者可以切換root身分(用sudo -s時),
這時就是root的身分,這樣就可以改root密碼了,那要如何做到不能更改root密碼?

我有加入相關passwd的限制跟編輯shadow的限制!就是mary使用此sudo -s時無法限制,參考過鳥哥大大的網站教學,還是找不出方法ㄟ!

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
18
mwu4
iT邦新手 2 級 ‧ 2010-02-03 23:49:19
最佳解答

委派root工作給使用者mary,應該係透過visudo去設定使用者mary能夠執行哪些原本需root身份才能執行的指令;而不是直接讓使用者mary變換為root身份。謝謝。

14
Albert
iT邦高手 1 級 ‧ 2010-02-03 20:51:58

我想委派root工作給使用者mary,但是mary此使用者可以切換root身分(用sudo -s時),
這時就是root的身分,這樣就可以改root密碼了,那要如何做到不能更改root密碼?

只授權工作角色權限 不要給 root 密碼 !!不給 root 身分
你要寫好 shell 執行 不要給 root 密碼

12
shunyuan
iT邦研究生 1 級 ‧ 2010-02-03 21:13:15

只要你讓用戶有 root 的權限,他就跟 root 一樣了,你能防的,他都能解,萬一有需要,還有可安裝額外的軟體,到時候就變成,他比你還強。

別去想他無法改密碼,如果有裝 ssh,甚至可以不用密碼就可以登入。鎖密碼就算鎖得住密碼,也鎖不住後門。

大忌,千萬別讓用戶可以變成 root,切記,切記。

6
yaojie
iT邦新手 5 級 ‧ 2010-02-04 11:19:52

透過VISUDO要將MARY變成變成ROOT身份,通常是要它代執行一些ROOT的相關命令...這樣的話..應該是只要開放..要MARY代ROOT執行的相關命令或者設定一個 Cmnd_List,指定那些命令MARY這使用者代執行就好..
將所有ROOT的權限全開放或者將ROOT的密碼告訴一般使用者,這樣危險度太高,只要能夠切換為ROOT身份,它想做什麼都行..

8
suhonet
iT邦新手 5 級 ‧ 2010-02-04 14:07:12

上個月我也剛好遇到此功能需求,分享我的設定給你,我的是ubuntu,先切換成root
visudo 進編輯sudo的介面,一定要切root以及下此指令,
接著在以下幾行開始編輯,

User privilege specification

root ALL=(ALL) ALL
mary ALL=(ALL) ALL,!/usr/bin/passwd root

即可達到mary無法變更root 密碼 擁有sudo 功能

tibandyli iT邦新手 2 級 ‧ 2010-02-05 10:45:45 檢舉

應該可行....
再不然就把su也封掉吧~"~

mwu4 iT邦新手 2 級 ‧ 2010-02-07 17:52:05 檢舉

只要有權限修改「 /etc/passwd 」、「 /etc/group 」、和「 /etc/shadow 」,就算不能用「 /usr/bin/passwd 」、「 su 」,一樣可reset root的密碼或直接讓個人擁有root的完全權限。因此全面開放root權限,就有類似風險。歡迎指正個人思慮不周之處,謝謝。

mwu4 所提的沒錯,還有 vipw,在 vi 裡 :r /etc/shadow 都是可改 root 的密碼。
不知 selinux 可以有可能的解決方式嗎?我 selinux 還未入門。

6
insider
iT邦研究生 5 級 ‧ 2010-02-04 14:41:05

Normally, what I learned as following :

  1. Create one gruop to enable "sudo" feature.
  2. Assign "requested" user id to this "sudo" allowed group.
  3. vi /etc/sudo/sudo.conf file to limit certain functions can be done by "sudo" group
  4. After that, the requested "user" will be limited in the fuctions from sudo.conf

我要發表回答

立即登入回答