Можно ли ограничить удаленный доступ администратора с помощью Selinux?

268
BrunoMCBraga

Предположим, что администратору необходим удаленный доступ к компьютеру. Вход в систему root отключен, но он принадлежит списку sudoers. Я читал, что "команда sudo" - хорошая практика, потому что вы не забываете, что используете root, а также команды sudo logs (это было для меня неожиданной частью). Мне нужно отслеживать команды администратора, но тот факт, что он может перейти в root, усложняет задачу, потому что он может просто удалить журналы. Я думал об использовании selinux, чтобы помочь мне здесь. Я знаю, этот вопрос звучит странно, но:

Есть ли способ ограничить доступ к администратору, который входит в список sudoers, или хотя бы защитить журналы его действий?

Администратор может получить доступ только удаленно, и прямой доступ с правами root не разрешен. Я даю эти правила, потому что можно ограничить доступ к администратору на основе созданной оболочки.

С уважением

2
Команды sudo и sudo logs являются хорошей практикой, потому что вы не забываете, что используете root, а также ограничены. vembutech 9 лет назад 0

1 ответ на вопрос

1
Ohnana

The thing is, if you give someone sudo privileges, they can become root with:

  • sudo -i
  • sudo su
  • sudo sh
  • sudo bash
  • sudo
  • sudo vi (seriously)
  • sudo python

The good thing is, you can limit sudo privileges in a semi-granular fashion. Here's the sudoers man page to elaborate on that a little more. man sudoerscan give you the same information.

Blocking access to su is a little more trivial. Here's a post on U&L that shows how to do this. Basically, you create a group called "becomeroot" and tell PAM to check if a user is in that group before allowing su. Don't add the admin to this group, and you're golden. However, they'll have the permissions to change this, because they have sudo!

You need to trust your admin, or remove sudo from them. If logging is the main concern, export the .bash_history files and log them externally. Here's another U&L post (man those guys are clever) that describes using auditdand a syslog server. Once the logs leave the box, your admin is powerless to stop it because they've already been snitched on!

С наилучшими пожеланиями Онана. BrunoMCBraga 9 лет назад 0

Похожие вопросы