首先,我不是在寻找摇滚明星安全。我们一眼就想阻止“sudo su -”,这里的政策是在运行命令时始终使用 sudo,我们都希望如此。理想情况下,如果有人确实尝试“sudo su -”来遵守文化并且永远不会成为 root,我们希望记录一些东西,这样我们就可以对所有运行的命令和发生的事情进行逆向工程。有没有一种方法可以防止 sudo su - 但允许“sudo su - serveruser”
谢谢,院长
AskOverflow.Dev
首先,我不是在寻找摇滚明星安全。我们一眼就想阻止“sudo su -”,这里的政策是在运行命令时始终使用 sudo,我们都希望如此。理想情况下,如果有人确实尝试“sudo su -”来遵守文化并且永远不会成为 root,我们希望记录一些东西,这样我们就可以对所有运行的命令和发生的事情进行逆向工程。有没有一种方法可以防止 sudo su - 但允许“sudo su - serveruser”
谢谢,院长
您可以在 sudoers 文件中指定完整的“su - foouser”——必须匹配整个命令字符串,这会阻止简单的“su -”。不利的一面是,您必须使用单独的允许命令列出所有可接受的目标用户。
或者,您可以使用 sudoers 指定目标用户组,并让他们使用“sudo -U”格式。
丹,
您可以做的是允许特定用户执行特定命令。据我所知,.net 中没有“否定”机制
sudo。这只是您允许的。但是,这不是直接
sudo的,您可以激活该wheel组,并且只允许该组的成员切换用户。请参阅答案启用轮子以防止 sudo su。