deaktivere su og sudo kommando i terminal
Nu har jeg brugt 8 måneder på at få læst, eksperminteret og afprøvet ting, så jeg netop kan få den server konfiguration, jeg ønsker.
Nu har jeg så taget skridtet videre til emnet "sikkerhed", så jeg kan få en sikker server.
Det største sikkerhedsproblem ligger i, at jeg hoster cs 1,6 på den. Jeg har tilknyttet en bruger, som har ftp-adgang (så jeg kan ligge nye baner og mods ind på) og terminaladgang (så jeg kan skifte bane, starte den op osv). Alle de andre brugere har ikke terminaladgang (det har jeg nemlig deaktiveret).
Problemet er så, at hvis brugeren fx indtaster "sudo og så et eller andet, der kræver sudo rettigheder", skal brugeren "bare" sit kodeord, også har brugeren nærmest root-adgang til serveren. Da bruger og kode sendes som ren tekst, når man overføre noget via ftp, så kan det jo med lethed opsnappes og bruges af en tredjepart. Det vil jeg gerne forhindre.
Jeg har læst et eller andet sted, at man kan tilføje et eller andet til /etc/sudoers, så "sudo" og "su" bliver deaktiveret for den bestemte bruger. Hvordan gør man det?
Nu har jeg så taget skridtet videre til emnet "sikkerhed", så jeg kan få en sikker server.
Det største sikkerhedsproblem ligger i, at jeg hoster cs 1,6 på den. Jeg har tilknyttet en bruger, som har ftp-adgang (så jeg kan ligge nye baner og mods ind på) og terminaladgang (så jeg kan skifte bane, starte den op osv). Alle de andre brugere har ikke terminaladgang (det har jeg nemlig deaktiveret).
Problemet er så, at hvis brugeren fx indtaster "sudo og så et eller andet, der kræver sudo rettigheder", skal brugeren "bare" sit kodeord, også har brugeren nærmest root-adgang til serveren. Da bruger og kode sendes som ren tekst, når man overføre noget via ftp, så kan det jo med lethed opsnappes og bruges af en tredjepart. Det vil jeg gerne forhindre.
Jeg har læst et eller andet sted, at man kan tilføje et eller andet til /etc/sudoers, så "sudo" og "su" bliver deaktiveret for den bestemte bruger. Hvordan gør man det?
Kommentarer7
Re: deaktivere su og sudo kommando i terminal
De brugere der kan sudo i Ubuntu ligger i samme gruppe. Kan ikke huske de præcise detaljer men som standard er nye brugere ikke medlem af denne gruppe. Se /etc/groups.
Re: deaktivere su og sudo kommando i terminal
Jeg gætter på at du bruger ubuntu hvilket jeg ikke selv gør, så kan kun svarer mere generelt. Normalt vil det kun være personer i gruppen wheel der har rettigheder til at bruge su, og muligvis også sudo. Alternativit kan sudo helt fjernes, da det er en pakke for sig selv.
Re: deaktivere su og sudo kommando i terminal
Men ja, du har ret i at det er /etc/sudoers der skal trylles i.
Du redigerer den med kommandoen visudo (den tjekker syntax så du ikke kan smadre filen)
Det lader til at du blot har behov for en enkelt linie i filen
%wheel ALL=(ALL) ALL
Hvilket giver brugere i gruppen wheel lov til at køre programmer med sudo.
RE
I har ret i, at jeg sagtens kunne overføre gennem ssh, men jeg skal alligevel bruge terminalen til at kunne afvikle cs 1,6 serveren i.
Ligenu ser min sudoers fil sådan ud:
# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL) ALL
# Uncomment to allow members of group sudo to not need a password
# (Note that later entries override this, so you might need to move
# it further down)
# %sudo ALL=NOPASSWD: ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
Vil det så sige, at jeg skal fjerne "%admin ALL=(ALL) ALL" og tilføje "%wheel ALL=(ALL) ALL" for at det kommer til at virke?
Er wheel-gruppe en standard gruppe, for jeg kan nemlig ikke nemlig ikke finde den i /etc/group ?
Re: deaktivere su og sudo kommando i terminal
Du kan se hvem der er i admin gruppen i /etc/group, og der kan du også rette hvem der skal være i de forskellige grupper.
Re: deaktivere su og sudo kommando i terminal
og som tideligere nævnt, ssh > ftp
Re: deaktivere su og sudo kommando i terminal
Jeg prøver at finde ud af (baseret på svarene), hvad jeg gør.