Можно ли ограничить удаленный доступ администратора с помощью Selinux?

Question

Можно ли ограничить удаленный доступ администратора с помощью Selinux?

Предположим, что администратору необходим удаленный доступ к машине. Вход в систему root отключен, но он принадлежит списку sudoers. Я читал, что "команда sudo" - хорошая практика, потому что вы не забываете, что используете root, а также команды sudo logs (для меня это было неожиданно). Мне нужно следить за командами администратора, но тот факт, что он может перейти в root, усложняет задачу, потому что он может просто удалить журналы. Я думал об использовании selinux, чтобы помочь мне здесь. Я знаю, этот вопрос звучит странно, но:

Есть ли способ ограничить доступ к администратору, который входит в список sudoers, или хотя бы защитить журналы его действий?

Администратор может получить доступ только удаленно, и прямой доступ с правами root не разрешен. Я даю эти правила, потому что можно ограничить доступ к администратору на основе созданной оболочки.

С уважением

2

selinux access-control

Источник

BrunoMCBraga 23 фев '15 в 12:46

1 ответ

Решение

Другие вопросы по тегам selinux access-control

Ohnana 23 фев '15 в 14:25 2015-02-23 14:25 · Accepted Answer · 2015-02-23 14:25

Дело в том, что если вы дадите кому-то привилегии sudo, они могут стать пользователем root с помощью:

судо-я
судо су
судо ш
судо баш
sudo {какую бы оболочку они не хотели}
судо ви (серьезно)
судо питон

Хорошо, что вы можете ограничить привилегии sudo полугранулярным способом. Вот справочная страница sudoers, чтобы немного подробнее остановиться на этом. man sudoersможет дать вам ту же информацию.

Блокировка доступа к su немного более тривиально. Вот пост на U&L, который показывает, как это сделать. По сути, вы создаете группу с названием "становитесь" и просите PAM проверить, находится ли пользователь в этой группе, прежде чем разрешить su. Не добавляйте администратора в эту группу, и вы золотой. Тем не менее, у них будет разрешение изменить это, потому что у них есть sudo!

Вы должны доверять своему администратору или удалить sudo из них. Если основной проблемой является ведение журнала, экспортируйте файлы.bash_history и ведите их внешний журнал. Вот еще один пост U&L (человек, который эти ребята умны), который описывает использование auditdи сервер системного журнала. Как только журналы покидают поле, ваш администратор не может их остановить, потому что они уже включены!