LINUX.ORG.RU

Что означает !DENY в sudoers?

 


1

3

Привет, в конфиге /etc/sudoers столкнулся с такой записью:

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
%devadmins	ALL=(ALL)	ALL, !DENY

Я вхожу в группу devadmins.

Я не могу сделать «sudo su - www-data», но могу, к примеру, сделать «sudo -u www-data -i» или «sudo cat /etc/sudoers». Или вообще отредактировать этот файл: «sudo nano /etc/sudoers».

Что мне запрещено? Не совсем понял смысл второй строки (!DENY)... Или что хотели сделать админы?

★★★

Я даже не помню, есть ли там такое. Надо в man глянуть, но мне кажется, что если в конфиге больше DENY не встречается, то это админы, которые его редактировали, просто забыли удалить. Скорее всего, DENY - это был или есть в файле список команд, которые пользователям группы devadmins запрещено запускать. Типа такое определение либо есть, либо когда-то было (утилиты с потолка):

Cmnd_Alias      DENY = /sbin/shutdown, /sbin/halt, /sbin/reboot
Zubok ★★★★★
()
Последнее исправление: Zubok (всего исправлений: 1)
Ответ на: Что мне запрещено? от Atragor

Да, так и есть:

[devadmin@secret-host ~]$ sudo cat /etc/sudoers | grep -E -v '^#|^$'
Cmnd_Alias DENY = /usr/bin/passwd, /usr/bin/sudoedit, /usr/sbin/visudo, /usr/bin/chattr, /usr/bin/mc, /usr/bin/su
Defaults    !requiretty
Defaults   !visiblepw
Defaults    always_set_home
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root	ALL=(ALL) 	ALL
%citadmins	ALL=(ALL)	ALL, !DENY
%ibadmins	ALL=(ALL)	ALL, !DENY
%devadmins	ALL=(ALL)	ALL, !DENY

Но не понятно, в чём смысл, я же могу sodoers открыть напрямую для редактирования через nano...

iljuase ★★★
() автор топика
Последнее исправление: iljuase (всего исправлений: 1)
Ответ на: комментарий от bvn13

Да, только что отредактировал через nano и добавил одну строку.

iljuase ★★★
() автор топика
Ответ на: комментарий от iljuase

Чем mc не угодил, что его внесли в список DENY? С такой политикой пользователи будут тупо переименовывать и запускать.

anonymous
()
Ответ на: комментарий от anonymous

Да там вся эта муть сугубо бесполезная. Админ позаприщал какие-то рандомные софтины, но похоже даже не подумал что этот запрет элементарно обходится.

Хотя может расчёт был на то что что наткнувшись на запрет коллега задумается и откажется от задуманного (или пойдёт консультироваться со старшим товарищем)

MrClon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.