Gadget Lateral

Sys Admin (ep. 04, parte 6) - SUDO (restrição a certos comandos)

Partilhar
dePublicado em

Vamos ao então nosso grupo wheel, cujo se encontra configurado no ficheiro /etc/sudoers. Conforme explicamos anteriormente, todos usuários neste grupo tem permissão para correr qualquer que seja o comando no sistema. Imaginemos que por algum motivo, por exemplo as regras organizacionais sofram alterações e surge a necessidade de tirar certos privilegios aos usuários, sem a necessidade de fazer muitas alterações no sistemas, podemos usar este mesmo ficheiro para tal objectivo.
 
Vamos neste tutorial tomar como base o usuário ordela, cujo está associado ao grupo wheel e tirar certas permissões para este grupo, afectando também este usuário.
Vejamos as imagens abaixo, usamos o usuário root para tirar certos privilegios a todos usuários associados ao grupo wheel, com que então:
  • na primeira imagem, o usuário ordela (associado ao grupo wheel) reinicia o serviço firewalld com uscesso.
  • na segunda imagem, usamos outro usuário (root) para tirar o poder de reiniciar o serviço firewalld a todos usuários associados ao grupo wheel.
  • e na uúltima imagem, o usuário ordela volta a correr o comando para reiniciar o serviço firewalld mas desta vez sem sucesso uma vez que foi revogado este poder a todos usuários associados ao grupo wheel, sendo este usuário um deles.

 

Vamos seguir mesma a ideia acima para outro serviço, por exemplo SSH (sshd). Vejamos abaixo. 

 

E tivemos o resultado esperado, todos usuários associados ao grupo não podem mais reiniciar o serviço SSH.
 
Podemos retirar (assim como atribuir) um número n de permissões, desde que estas estejam colocadas uma a seguir a outra e separadas por vírgulas.



Outra maneira de retirar (assim como atribuir) um número n de permissões, é fazendo a distribuíção por linhas individuais para maior clareza e gestão, embora aumenta o número de linhas no ficheiro.

Note que para as politicas que aplicamos neste tutorial (restringir permissão a certos comandos) usamos o simbolo ! (operador de negação), uma "ferramenta" (se assim considerarmos) impontante, usada também em muitas linguangens de programação para o mesmo propósito. De um modo geral, esta ferramenta permite a esclusão explicita de comandos específicos de uma atribuição ampla de permissões, o que possibilita um controlo mais detalhado.
Enviar um comentário
Labels, , , , , ,

Comentários