web-dev-qa-db-fra.com

Comment puis-je arrêter le service Sudo?

Je souhaite empêcher toute commande racine lors d'une session de démarrage en direct. Je ne veux pas que quiconque puisse se connecter en tant que root. Période!

Alors, est-il possible d'arrêter le service Sudo? Si oui, cela permettrait-il d'accomplir ce que j'essaie de faire?

J'ai essayé les trois commandes de service d'arrêt possibles ci-dessous mais chkconfig --list montre que Sudo fonctionne toujours:

(1)

Sudo stop Sudo

(2)

Sudo /etc/init.d/Sudo stop

(3)

Sudo service Sudo stop
securitysudorootservices
3
bambuntu

Vous ne pouvez pas vous débarrasser de Sudo comme vous le pensez, mais vous pouvez définir de manière explicite ce que les utilisateurs sont autorisés à faire, allant de l'interdiction de Sudo à l'exigence de mots de passe pour des commandes particulières. C'est très puissant.

Vous faites cela en utilisant sudoers

De buntu.com :

Le fichier/etc/sudoers contrôle qui peut exécuter quelles commandes et quels utilisateurs sur quelles machines et peut également contrôler certaines choses, comme par exemple si vous avez besoin d'un mot de passe pour des commandes particulières.

Pour ce faire, il utilise quatre types d’alias: User_Alias, Runas_Alias, Host_Alias ​​et Cmnd_Alias, qui fonctionnent comme leur nom l’indique.

which

2
Rory Alsop

Vous devez restreindre l'accès physique. Si quelqu'un a un accès physique à votre ordinateur (disque dur), il a un accès root, quel que soit le système d'exploitation.

C'est pourquoi ils gardent les serveurs dans des salles verrouillées =)

Deuxième meilleur est une installation cryptée. Cela rendra difficile, voire impossible, une personne ayant un accès physique à accéder à vos données, en supposant que l'ordinateur soit éteint et qu'elle n'installe pas de noyau modifié.

Pour préciser davantage ma réponse, maintenant que vous avez posé des questions sur la mise en place d’un kiosque.

Tout d'abord, vous avez besoin d'un accès root via un mécanisme, Sudo ou su, à vous de choisir, pour effectuer l'administration du système. Depuis la désactivation complète de Sudo, su ou de tous les accès root est irréaliste. Avec ce que vous avez posté, je verrais comment verrouiller votre kiosque avec apparmor (regardez le profil apparmor du compte gurest en tant que modèle).

Si vous ne savez pas comment utiliser apparmor, utilisez une distribution conçue comme un kiosque. Pourquoi recréer la roue?

Options ici

1) Utilisez Ubuntu avec le compte invité. Le compte invité est limité par apparmor:

http://dangertux.wordpress.com/2011/11/22/341/

2) Il y a d'autres options

Fedora fait tourner un kiosque, verrouillé avec selinux

http://spins.fedoraproject.org/kiosk/#home

3) autres distorsions

http://webconverger.org/

4
Panther