Marquinho escreveu:
Claudio, boa tarde.
Achei interessante a idéia do Wendell sobre "Restrições para o comando
su" e tentei implementar sua sugestão, pois no meu caso também não
funcionou o arquivo "/etc/suauth".
Bem, o problema é que, pela sua sugestão, o usuário X pode executar
"su" para o usuário Y, porém não é solicitado a senha de acesso do
usuário Y. Para tornar o sistema um pouco mais seguro seria
interessante que esta senha fosse solicitada. Então pergunto: Existe
alguma forma de forçar a solicitação da senha de acesso do usuário Y,
implementando a configuração sugerida???
Eu tentei alterar a linha sugerida no arquivo "/etc/sudoers", mas sem
sucesso. Dei uma olhada no man deste arquivo também e não consegui
encontrar nada referente a esta dúvida.
Olá,
Você tem razão, quando eu postei esqueci algo, mas como o Wendell não
contra-argumentou, passou batido.
Somente recapitulando a idéia: "Tem-se um usuário usuário_x que pode
logar remotamente mas não pode se tornar root. Porém, este usuário pode
tornar-se usuário_y, mediante senha de usuário_y, e usuário_y pode
tornar-se root, mediante senha de root."
Lançado este desafio, ae vai minha tacada:
Se criar um grupo (administradores, por exemplo), der permissão apenas
ao grupo e root para executar o su (/bin/su) e colocar os usuário que
podem tornarem-se root (o usuário_x não pode fazer parte deste grupo),
então:
# groupadd administradores
# chgrp administradores /bin/su
#chmod 4710 /bin/su
# usermod -G `id -G usuário_y|sed s/' '/,/g`,administradores usuário_y
Agora com um pouco de criatividade cria-se uma entrada em /etc/sudoers:
usuário_x ALL=NOPASSWD:/bin/su -l usuário_y -c /bin/su\ -l\ usuário_y
E para o usuário_x tornar-se usuário_y:
[EMAIL PROTECTED] x]$ sudo /bin/su -l usuário_y -c /bin/su\ -l\ usuário_y
Acho que isso resolve na íntegra.
--
[]'s
Claudio Polegato Junior
Um peregrino de Problemas; Um pergaminho de Soluções.
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
