Selinuxを使用して管理者のリモート管理アクセスを制限することは可能ですか?


2

管理者がマシンにリモートでアクセスする必要があるとします。ルートログインは無効になっていますが、sudoersリストに属します。ルートとsudoログコマンドを使用していることを忘れないため、「sudoコマンド」は良い習慣であると読みました(これは私にとって驚くべき部分でした)。adminコマンドを追跡する必要がありますが、彼がrootにエスカレートできるという事実は、ログを削除するだけなのでタスクを複雑にします。ここで私を助けるためにselinuxを使うことを考えていました。この質問は奇妙に聞こえますが、

sudoersリストに属する管理者へのアクセスを制限する方法、または少なくとも彼のアクションのログを保護する方法はありますか?

管理者はリモートでのみアクセスでき、ルートアクセスは直接許可されません。生成されたシェルに基づいて管理者へのアクセスを制限できる可能性があるため、これらのルールを指定します。

敬具


sudoコマンドとsudo logsコマンドは、rootを使用していることと、制限できることを忘れないため、良い習慣です。
vembutech

回答:


1

問題は、誰かにsudo権限を付与すると、次のようにrootになることができるということです。

  • sudo -i
  • 須藤す
  • 須藤sh
  • sudo bash
  • sudo {必要なシェル}
  • sudo vi(まじめに)
  • sudo python

良いことは、半粒度でsudo特権を制限できることです。これについてもう少し詳しく説明するために、sudoersのmanページを示します。man sudoers同じ情報を提供できます。

へのアクセスのブロックsuはもう少し簡単です。これを行う方法を示すU&Lの投稿を以下に示します。基本的に、「becomeroot」というグループを作成し、suを許可する前にユーザーがそのグループに属しているかどうかを確認するようPAMに指示します。このグループに管理者を追加しないでください。あなたは黄金です。ただし、sudoがあるため、これを変更する権限があります!

管理者を信頼するか、管理者からsudoを削除する必要があります。ロギングが主な関心事である場合は、.bash_historyファイルをエクスポートし、外部でログに記録します。syslogサーバーの使用方法を説明する別のU&L投稿(これらの人は賢い人です)を紹介しauditdます。ログがボックスを離れると、管理者は既にスニッチされているため、ログを停止することはできません。


よろしくお願いします。
ブルーノMCブラガ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.