Создание администратора без доступа к другим учетным записям администратора

377
Jonathan Winger-Lang

Я хочу создать учетную запись администратора на моем ноутбуке, которая не имеет доступа к другим учетным записям администратора.

В sudo visudoфайле

# root and users in group wheel can run anything on any machine as any user root ALL = (ALL) ALL #%admin ALL = (ALL) ALL my-user ALL = (ALL) ALL

Здесь я пытаюсь разрешить только sudo из моей учетной записи, но не другого администратора. Это то, что я сделал до сих пор, но я не уверен, достаточно ли этого (или даже буду работать с самого начала, если честно).

2
По сути, любой пользователь в файле sudoers сможет предоставить себе доступ к программам и файлам. Вы можете сделать такие вещи, как ограничение прав доступа к файлам, чтобы заблокировать случайный просмотр ограниченных файлов, но если пользователь присутствует в sudoers, он может просто запустить «sudo su», чтобы получить полный доступ. Какова ваша цель: запретить доступ к определенным файлам / папкам? Чтобы предотвратить запуск определенных приложений? Christopher Hostage 5 лет назад 2
Пользователя в моем примере нет. У меня есть третий аккаунт с именем "PseudoAdmin". У меня есть только белый список root и my-user в файле sudo. По сути, целью является создание учетной записи, которая выглядит как администратор, но не имеет возможности просматривать мои личные файлы. Jonathan Winger-Lang 5 лет назад 0
Было бы полезно, если бы ОП объяснила обстоятельства. Является ли этот Mac общедоступной собственностью, которой кто-то поделился, или только ОП? Если он один, он в запираемой комнате? Если это общий доступ, является ли PsuedoAdmin своим другом для физического доступа к Mac, удаленному рабочему столу, файлообменнику или SSH? Что для вас значит «выглядит как администратор»? Представьте, что вы злоумышленник - какие тесты вы бы сделали для определения статуса администратора? Если ОП надеется, что злоумышленник кратко рассмотрит, не увидит Важные файлы и сдастся, я предлагаю Google прибегнуть к «безопасности за неясностью». Christopher Hostage 5 лет назад 0
Справедливо, извини. По сути, это общий ноутбук, где человек А попросил меня создать учетную запись администратора, строго по соображениям политики. Я, человек Б, хочу следовать политике, ограничивая доступ этой учетной записи к моей личной части ноутбука. Возможно, стоит отметить, что никто не будет использовать новую учетную запись, это строго по политическим причинам. Первоначальное намерение с учетной записью состояло в том, чтобы создать отдельную учетную запись, которая будет резервироваться (опять же, это все политика), оставляя наши личные учетные записи в покое. Jonathan Winger-Lang 5 лет назад 1
Хорошо. Ответ, предоставленный music2myear, является правильным. Любой администратор сможет просматривать все файлы на компьютере, поэтому вам придется доверять всем людям, которые имеют этот пароль. Если вы хотите немного уединения, вам понадобится машина, которой вы владеете, и которой вы сами управляете. Есть много других соображений безопасности, но это только начало. Christopher Hostage 5 лет назад 0
Хорошо, спасибо за комментарии. Jonathan Winger-Lang 5 лет назад 0
Идите вперед и опубликуйте новый вопрос с новым уточненным вопросом. Мы ответили на этот вопрос, но, кажется, ваш «настоящий» вопрос лежал под всем этим, и мы только что выяснили это. Это заслуживает своего места. music2myear 5 лет назад 0

1 ответ на вопрос

8
music2myear

Быть администратором означает, по сути, возможность изменять разрешения, в том числе свои собственные.

Это означает, что если вы предоставите кому-то права администратора, но попытаетесь ограничить их разрешения в определенных частях системы, они смогут сами изменить эти разрешения в соответствии со своими желаниями.

Вместо того, чтобы пытаться управлять правами администратора или ограничивать их, вы должны расширить права ограниченных / обычных пользователей для этих пользователей, включив в них аспекты, которые им требуются, при этом не допуская полного администратора.

Хорошо спасибо. Чтобы изменить угол вопроса. Скажите, что моя учетная запись занесена в черный список в файле sudo, как мне обойти это? Jonathan Winger-Lang 5 лет назад 0
Опубликуйте это как новый вопрос. Обязательно укажите любую соответствующую информацию, например, является ли это корпоративным компьютером и какие права вы обычно имеете на устройстве. music2myear 5 лет назад 0

Похожие вопросы