Otázka :Jak zabránit danému uživateli v tom, aby mohl spustit konkrétní příkaz.
Tato technika používá seznam řízení přístupu k souborovému systému (ACL), aby se zabránilo nežádoucímu přístupu.
Pozor :Funkce sudo není pro tento účel vhodná. Zejména „odečtení“ spustitelného souboru od povolené předvolby ALL nefunguje podle očekávání.Níže uvedený příklad zabrání uživateli john ve vytváření jakýchkoli adresářů pomocí příkazu mkdir. Postup je následující:
1. Najděte absolutní cestu k příkazu, který chcete ovládat:
# which mkdir /bin/mkdir
2. Zobrazte aktuální ACL pro daný program:
# getfacl /bin/mkdir # file: bin/mkdir # owner: root # group: root user::rwx group::r-x other::r-x
Uživatel, skupina a další položky odpovídají tradičním oprávněním pro přístup k souborům spravovaným příkazem chmod.
3. Přidejte pravidlo řízení přístupu pro uživatele john:
# /bin/setfacl -m u:john:--- /bin/mkdir
4. Prohlédněte si aktualizované řízení přístupu:
# getfacl /bin/mkdir getfacl: Removing leading '/' from absolute path names # file: bin/mkdir # owner: root # group: root user::rwx user:john:--- group::r-x mask::rwx other::r-x
5. Otestujte nastavení:
# su - john $ mkdir -bash: /bin/mkdir: Permission denied
Zvažte přidání sledování provádění pomocí nástroje auditctl k rozšíření této ochrany.
Jak auditovat všechny příkazy spuštěné na OEL 5,6 pomocí auditd