sudo的安全策略阻止/允许用户执行指定的命令

简介: sudo的安全策略阻止/允许用户执行指定的命令


sudo用户组的用户可以使用sudo以root权限运行命令。但是某些场景下可能要求用户可以执行部分命令,不能执行部分命令。这时可以通过配置sudo的默认安全策略插件sudoers来达到效果。

# 将用户移除sudo用户组(如果原来在的话)
# 确认/etc/sudoers配置策略
# 如果没有改动过该文件,其大致如下:
root  ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
  • 编辑用户安全策略配置
    在/etc/sudoers.d/目录下建立与用户同名的策略文件,如:
visudo -f /etc/sudoers.d/test # 其中“test”为测试建立的用户名
# 期望用户test 可以以管理员权限执行/usr/bin、/bin下的所有命令,但是不能修改其他用户密码以及kill其他用户进程,可以配置如下:
test ALL=/usr/bin/, !/usr/bin/passwd, /bin/,  !/bin/kill
# 测试一下,会发现passwd被阻止了:
sudo passwd
[sudo] password for test: 
Sorry, user test is not allowed to execute '/usr/bin/passwd' 
as root on zzz.
# 在策略文件中配置:!/usr/bin/passwd user_name,该策略可以阻止修改特定用户的密码。可以得知,该策略可以阻止特定参数的命令


相关文章
|
1月前
|
SQL 安全 Linux
命令执行漏洞
命令执行漏洞
|
4月前
|
安全 Unix Shell
web安全之命令执行
应用未对用户输入做严格得检查过滤,导致用户输入得参数被当成命令来执行。
56 4
|
安全 API 网络安全
绕过IIS命令执行防护提权
绕过IIS命令执行防护提权
154 0
|
存储 编解码 安全
|
移动开发 监控 安全
|
机器学习/深度学习 网络协议 安全
【网络安全】利用samba服务绕过未开启文件包含配置
利用samba服务绕过未开启文件包含配置
156 0
【网络安全】利用samba服务绕过未开启文件包含配置
|
安全 网络协议 Java
命令执行漏洞详细讲解
应用有时需要调用一些执行系统命令的函数,如PHP中的`system`、`exec`、`shell_exec`、`passthru`、`popen`、`proc_popen`等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
|
运维 Apache 数据库
DO447管理任务执行--控制提权
DO447管理任务执行--控制提权
157 0
DO447管理任务执行--控制提权