Permettere i privilegi sudo, ma non l'accesso ai siti

4

È possibile farlo in modo che un utente possa utilizzare il comando sudo nel terminale, ma non avere accesso a siti diversi da quelli consentiti tramite il controllo genitori, senza un sistema di terze parti?

    
posta Caleb Kleveter 15.12.2015 - 20:17
fonte

2 risposte

4

Regolando il file sudoers ( / etc / sudoers ) con sudo visudo dovrebbe essere possibile farlo. È un lavoro infernale e hai bisogno di una profonda conoscenza di tutti i comandi per perfezionare questo, evitando però errori e scappatoie.

Devi aggiungere l'utente alla sezione Specifica dei privilegi dell'utente

...
# User privilege specification
root    ALL=(ALL) ALL
%admin  ALL=(ALL) ALL
...

Quindi utilizzare una lista bianca (o una lista nera) di comandi consentiti (o non consentiti):

Esempi:

whitelist

# User privilege specification
root    ALL=(ALL) ALL
%admin  ALL=(ALL) ALL
user    ALL=/usr/bin/nano,/usr/bin/opensnoop

blacklist

# User privilege specification
root    ALL=(ALL) ALL
%admin  ALL=(ALL) ALL
user    ALL=!/usr/libexec/PlistBuddy,!/usr/bin/passwd,!/usr/sbin/*

Puoi combinare lista bianca e lista nera.

Controlla man sudoers come semplificare le cose o restringere le cose configurando Utente, Runas, Host e Cmnd alias .

Verifica la risposta accettata alla domanda Come impedire agli utenti sudo di eseguire comandi specifici? per le insidie della configurazione di un comando semplice come rnano nel file sudoers.

    
risposta data 15.12.2015 - 21:23
fonte
1

I due concetti si escludono a vicenda.

Aggiungere qualcuno all'elenco di sudoers in modo efficace dà loro il potere di ignorare qualsiasi restrizione che desideri imporre.

    
risposta data 15.12.2015 - 20:28
fonte

Leggi altre domande sui tag