首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

A 和 B 假如都是 sudo 组,那如何阻止 B 把 A 给踢出 sudo 组

  •  
  •   wikinee · 103 天前 · 3663 次点击
    这是一个创建于 103 天前的主题,其中的信息可能已经有所发展或是发生改变。
    总不能是先下手为强吧,这里的权限机制很困惑。。。
    15 回复  |  直到 2019-08-05 10:24:13 +08:00
        1
    julyclyde   103 天前
    那当然是不能阻止的
        2
    iyaozhen   103 天前 via Android   ♥ 1
    想起了大学宿舍群,4 个人都是管理员。
        3
    gam2046   103 天前   ♥ 1
    sudo passwd

    都可以修改 root 的密码,显然不能阻止 B 把 A 踢出。sudo 以后等同于 root 权限了
        4
    656002674   103 天前   ♥ 3
        5
    yankebupt   103 天前
    我还以为肯定有人会说放个暗桩,当检测到 A 不是 sudo 组时把 B 踢出 sudo 组同时把 A 加回来,没想到现在都这么和谐了么...
        6
    alphatoad   103 天前 via iPhone
    感觉会有 racing condition 啊
    指令还在队列里,然后被 t 了
        7
    exip   103 天前 via Android
    是可以实现的,不过不太完美,对蓄意修改者还是无效,对一般用户来说没问题。
    实施限制
    可以对用户能够运行的命令实施限制。假设有一个名为 dataex 的组,其成员是 “ alpha ”、“ bravo ” 和 “ charlie ”。现在,已经允许这个组运行 sudo 命令 /usr/local/bin/mis_ext *,这里的星号代表传递给脚本的许多参数。但是,如果参数是 import,就不允许用户 “ charlie ” 执行此脚本。可以使用逻辑否 '!' 操作符设置这种条件。下面是在 sudoers 中的实现方法:
    1 %dataex rs6000 = (dbmis) NOPASSWD: /usr/local/bin/mis_ext *
    2 charlie rs6000 = (dbmis) NOPASSWD: !/usr/local/bin/mis_ext import

    参考:https://www.ibm.com/developerworks/cn/aix/library/au-sudo/index.html
        8
    ryd994   103 天前
    @alphatoad 不会,sudo 只在开始时验证权限
    比如你 sudo bash,那即使你被剔出 sudoer,这个 bash 还是有 root 权限
        9
    alphatoad   103 天前 via iPhone
    @ryd994 其实我想的更多的是 shell 在 execl 的时候的表现,个人认为这里不会有 racing condition
        10
    elikoi17   103 天前 via Android
    selinux ?
        11
    ibreaker   103 天前   ♥ 1
    @exip 看你这字母解释法,是玩业余无线电的吗
        12
    starsriver   102 天前 via Android
    任何人都可以踢人。

    记住 linux 的提示,权限越大责任越大。
        13
    exip   102 天前 via Android
    @ibreaker 你说的是这个吧,无线电中字母的读法。
    A:ALFA  
    B:BRAVO  
    C:CHARLIE  
    D:DELTA
    E:ECHO
    F:FOXTROT
    G:GOLF
    H:HOTEL
    I:INDIA
    J:JULIET
    K:KILO
    L:LIMA
    M:MIKE
    N:NOVEMBER
    O:OSCAR
    P:PAPA
    Q:QUE B EC
    R:ROMEO
    S:SIERRA
    T:TANGO
    U:UNIFORM
    V:VICTOR
    W:WHISKEY
    X:X-RAY
    Y:YANKEE
    Z:ZULO
        14
    wangguoqin1001   101 天前
    设定允许 /禁止 sudo 运行的命令,当然比较靠谱的就是把安全的命令穷举一下放在允许 sudo 执行的命令列表里面🤷‍♂️
        15
    no1xsyzy   101 天前
    你可以通过 visudo 限制 sudo 能够执行的命令。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3011 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 10:52 · PVG 18:52 · LAX 02:52 · JFK 05:52
    ♥ Do have faith in what you're doing.