GNU/Linux >> Tutoriales Linux >  >> Cent OS

Cómo deshabilitar "sudo su" para los usuarios en el archivo de configuración de sudoers

Esta publicación describe los pasos para reforzar la seguridad del sistema al evitar que los usuarios con acceso sudo obtengan privilegios de superusuario mediante el comando:

$ sudo su

El sudo El comando permite que un administrador del sistema permita que un usuario, o un grupo de usuarios, ejecute herramientas de línea de comandos específicas con diferentes privilegios (como el privilegio de superusuario "raíz") conociendo solo la contraseña de usuario original.

A medida que se ejecuta el comando sudo, intenta encontrar un comando coincidente en sus archivos de configuración /etc/sudoers o /etc/sudoers.d/; si se encuentra una coincidencia, al usuario se le concede el privilegio de ejecutar el comando; si no, se registra el evento y se rechaza el comando.

El comando sudo funciona haciendo coincidir los argumentos de la línea de comando con cada entrada en los archivos /etc/sudoers o /etc/sudoers.d/. La primera coincidencia encontrada determina el resultado. Cada regla se prueba en su orden en el archivo /etc/sudoers. La regla se compara con el comienzo del comando. Si la regla es más corta que el comando, solo se verifica la parte coincidente al comienzo del comando; cualquier resto del comando no se comprueba. El orden de las reglas de /etc/sudoers importa; siempre ponga las reglas más largas antes de una versión más corta.

1. Inicie sesión como cuenta raíz en el servidor.

2. Haga una copia de seguridad de /etc/sudoers archivo de configuración.

# cp -p /etc/sudoers /etc/sudoers.ORIG

3. Edite el archivo de configuración /etc/sudoers.

# visudo -f /etc/sudoers

De:

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
orarom ALL=(ALL) ALL

Para:

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
orarom ALL = ALL, !/bin/su

4. Luego guarde el archivo.

5. Haga lo mismo con otra cuenta de usuario en sudo.

Verificar

Verifiquemos si hemos deshabilitado el acceso sudo al usuario.

$ sudo su -
[sudo] password for orarom:
Sorry, user orarom is not allowed to execute '/bin/su -' as root on testvm01.


Cent OS

  1. Arreglar el archivo sudoers roto – sudo:error de análisis en /etc/sudoers cerca de la línea 21 [Ubuntu]

  2. ¿Cómo se actualiza /etc/motd?

  3. ¿Cómo monitorear los archivos /etc/shadow y /etc/passwd en busca de cambios con Auditd?

  4. Agregar usuarios a sudoers a través de un script de shell

  5. /etc/sudoers - Insultos - ¿Cómo agregar una lista de insultos?

Cómo agregar un usuario a Sudoers en Ubuntu

Cómo agregar usuarios a Sudoers en CentOS

Cómo agregar un usuario a Sudoers en Debian

Cómo usar Sudo y el archivo Sudoers

Agregue un sudoer de forma no interactiva desde la línea de comando

Deshabilite los comentarios al escribir la contraseña en un indicador de Sudo