Latest posts for the topic "Cẩn thận khi chỉnh sửa file sudoers"

Cẩn thận khi chỉnh sửa file sudoers

pearltran — GMT

Trước tiên các bạn hãy đọc bài này của anh conmale để biết về sudo http://hvaonline.net/hvaonline/posts/list/17027.html Bài viết này tôi sẽ nói về điểm thứ 2 mà anh conmale đã đề cập đến đó là ấn định cụ thể từng lệnh được quyền chạy sudo và điều tra kỹ lưỡng nội dung của chúng.Trước hết để 1 user có thể chạy lệnh sudo thì phải đưa user đó vào file sudoers.Để mở file sudoers dùng lệnh Code:

visudo -f /etc/sudoers

Bạn nên dùng visudo để chỉnh sửa vì khi chỉnh sửa chúng ta save lại nếu có lỗi cú pháp xảy ra trong sudoers nó sẽ thông báo .Nếu xảy ra lỗi cú pháp trong sudoers thì lệnh sudo sẽ không dùng được Nếu ta đưa user pearl vào với lệnh này Code:

pearl ALL=(ALL) ALL

pearl có thể chạy tất cả các lệnh như là root hoặc user khác.Điều này rất nguy hiểm vì pearl có thể trở thành root bắng cách Code:

sudo su root

Nó sẽ yêu cầu đánh password nhưng password ở đây là password của user pearl.Suýt quên,khi bạn chạy lệnh sudo lần đầu nó sẽ hỏi bạn password của bạn và sau 1 khoảng thời gian nhất định nó sẽ hỏi lại Bây giờ muốn user pearl chỉ được quyền chạy 1 lệnh chẳng hạn như kill thì Code:

pearl ALL=/bin/kill

Trong file sudoers bạn sẽ thấy cmd_ailas,Đây là các biệt danh lệnh nó chứa tập hợp các lệnh.VD:Cmd_alias DELEGATING=/bin/chmod,bin/chown,/bin/chgrp Muốn user pearl chỉ có quyền chạy chạy các lệnh như /bin/chmod,/bin/chown./bin/chgrp thì Code:

pearl ALL=DELEGATING

Muốn user pearl được chạy tất cả các lệnh nhưng không được chạy lệnh su thì có 2 cách: cách 1: Code:

pearl ALL=ALL, !/bin/su

nhưng cách với cách này user pearl bằng cách copy lệnh su sang 1 nơi khác Code:

cp /bin/su /

Sau đóCode:

sudo /su

vậy là user pearl đã trở thành root Cách 2: Dùng NOEXEC. Máy tôi không hỗ trợ NOEXEC nên chưa có dịp thử nghiệm thằng này.Các bạn có thể vào trang man sudoers để đọc về nó Khi đưa 1 user vào trong file sudoers thì không nên cho user đó chạy các lệnh mà chỉ có root mới chạy được như chmod,chgrp,chown,kill,...và đặc biệt là lệnh su Tác giả:pearltran

Cẩn thận khi chỉnh sửa file sudoers

quanta — GMT

pearltran wrote:

... Cách 2: Dùng NOEXEC. Máy tôi không hỗ trợ NOEXEC nên chưa có dịp thử nghiệm thằng này.Các bạn có thể vào trang man sudo để đọc về nó ...

Trong man sudoers có đoạn này:

If sudo has been compiled with noexec support and the underlying operating system supports it, the NOEXEC tag can be used to prevent a dynamically-linked executable from running further commands itself. In the following example, user aaron may run /usr/bin/more and /usr/bin/vi but shell escapes will be disabled. aaron shanty = NOEXEC: /usr/bin/more, /usr/bin/vi

Tạm dịch: Nếu sudo được biên dịch hỗ trợ noexec và hệ điều hành cũng support nó, NOEXEC có thể được dùng để ngăn cản thi hành một liên kết động ngoài bản thân những lệnh đang chạy. Giả sử trong /etc/sudoers tớ để thế này:

quanta ALL=(ALL) ALL, NOEXEC: /bin/su,

tức là user quanta vẫn có thể dùng $ su bình thường nhưng nếu thử $ sudo su root thì sẽ "bị" báo cáo ngay:

su: /bin/bash: Permission denied

Re: Cẩn thận khi chỉnh sửa file sudoers

lihavim — GMT

Nếu đã cấp cho user đó quyền chạy mọi cái thì việc chuyển sang root có ích gì nhỉ?

Re: Cẩn thận khi chỉnh sửa file sudoers

lQ — GMT

Thực ra nếu dùng sudo thì tui thấy trước 01 ưu điểm: sudo sẽ lưu lại tất cả các command đi kèm theo nó (dĩ nhiên là ko chơi với sudo su root).

Cẩn thận khi chỉnh sửa file sudoers

pearltran — GMT

quanta wrote:

pearltran wrote:

... Cách 2: Dùng NOEXEC. Máy tôi không hỗ trợ NOEXEC nên chưa có dịp thử nghiệm thằng này.Các bạn có thể vào trang man sudo để đọc về nó ...
Trong man sudoers có đoạn này:
If sudo has been compiled with noexec support and the underlying operating system supports it, the NOEXEC tag can be used to prevent a dynamically-linked executable from running further commands itself. In the following example, user aaron may run /usr/bin/more and /usr/bin/vi but shell escapes will be disabled. aaron shanty = NOEXEC: /usr/bin/more, /usr/bin/vi
Tạm dịch: Nếu sudo được biên dịch hỗ trợ noexec và hệ điều hành cũng support nó, NOEXEC có thể được dùng để ngăn cản thi hành một liên kết động ngoài bản thân những lệnh đang chạy. Giả sử trong /etc/sudoers tớ để thế này:
quanta ALL=(ALL) ALL, NOEXEC: /bin/su,
tức là user quanta vẫn có thể dùng $ su bình thường nhưng nếu thử $ sudo su root thì sẽ "bị" báo cáo ngay:
su: /bin/bash: Permission denied

Anh quanta thử nghiệm trên distro nào vậy?em vừa dùng cách trên Fedora 6 thì user vẫn có thể chạy các lệnh không cho chạy bằng cách Code:

cp /bin/su ./Desktop

Sau đó Code:

sudo ./Desktop/su root

Cẩn thận khi chỉnh sửa file sudoers

quanta — GMT

pearltran wrote:

Anh quanta thử nghiệm trên distro nào vậy?em vừa dùng cách trên Fedora 6 thì user vẫn có thể chạy các lệnh không cho chạy bằng cách Code:
cp /bin/su ./Desktop
Sau đó Code:
sudo ./Desktop/su root

Ừ nhỉ, cũng giống cách 1 của bạn, vẫn chạy được khi copy lệnh đó sang chỗ khác. Có lẽ cần đọc lại man sudoers.

Re: Cẩn thận khi chỉnh sửa file sudoers

quanta — GMT

Liên quan đến vấn đề này, xin mời mọi người cùng thảo luận về wheel group. Khi muốn cho phép 1 user có thể thực hiện lệnh với quyền root, bạn sẽ: + Thêm user đó vào wheel group và uncomment dòng # %wheel ALL=(ALL) ALL? + Hay là thêm ALL=(ALL) ALL vào /etc/sudoers? Cuối cùng, bạn làm thế nào để ngăn cản người dùng thực hiện: $ sudo su - root?

Re: Cẩn thận khi chỉnh sửa file sudoers

Mr.Khoai — GMT

Anh quanta, Anh cản sudo su - (sử dụng NOEXEC) thì user chỉ việc copy su thành một file khác rồi execute mà thôi. Tốt nhất là chỉ nên liệt kê một số lệnh mà user được phép sudo, và tất nhiên là phải sử dụng absolute path. Sử dụng group wheel có lợi sau: - Anh không cần chỉnh sudoers, mà chỉ cần add user vào group wheel là được. - Group wheel có thể chứa một nhóm super-user (hoặc admin) mà anh tin tưởng, và quản lý theo cả nhóm Bất lợi khi sử dụng group wheel là mình không thể chỉnh cụ thể một user có thể làm gì, trong khi các user khác trong group không thể. Tùy theo nhu cầu em nghĩ ứng dụng group wheel sẽ có điểm lợi/hại khác nhau. khoai

Cẩn thận khi chỉnh sửa file sudoers

vikjava — GMT

xin hỏi đối với ubuntu thì phần wheel group hoặc tính năng như wheel group đươc thực hiện như thế nào. Mới tìm hiểu về cái này mong mọi người giúp. thân

Cẩn thận khi chỉnh sửa file sudoers

quanta — GMT

vikjava wrote:

xin hỏi đối với ubuntu thì phần wheel group hoặc tính năng như wheel group đươc thực hiện như thế nào. Mới tìm hiểu về cái này mong mọi người giúp. thân

Bác tham khảo cái http://www.kernel-panic.org/wiki/GroupWheel.