[Linux-Biella] sudo ma non godo

[andrea ferraris]

2009/3/18 leonardo buffa <leonardo.buffa a bilug.linux.it>:
> On Wed, 18 Mar 2009 11:47:43 +0100
> andrea ferraris <andrea.ferraris a gmail.com> wrote:
>
>> Resta il fatto che se non sì abilità root ma solo sudoers ci sarà
>> almeno un utente che potrà fare cose da root o comunque critiche per
>> il sistema collegandosi da remoto e fornendo una sola password, mentre
>> abilitando root senza consentirgli il login da remoto e non dando
>> privilegi ai sudoers di fare cose distruttiva un attaccante remoto
>> dovrà conoscere due password per nuocere.
>
> con la differenza che con sudo potrai vincolare $utente a poter fare ad
> esempio solo sudo tail /var/log/messages

Questo come lo ottieni? Mi spiego meglio, puoi consentirgli solo di fare
tail /var/log/messages, ma di non fare le altre cose come glielo impedisci?
Lo chiedo perche' p.es. se cerchi di farlo con comandi del tipo:
<utente> ALL = (ALL) !/bin/, !/usr/bin/, !/sbin/, !/usr/sbin/
quello ti fa cp /usr/sbin/visudo /tmp e poi dopo un bel
sudo /tmp/visudo ti sovverte il sistema come meglio crede.

Andrea Ferraris

---
it seemed like a good idea at the time
Brian Kernighan