web-dev-qa-db-ja.com

ユーザーはsudoなしで何ができますか?

サーバーを設定していますが、ユーザーが自分のファイルにのみアクセスできるようにします。通常のadduserコマンドを実行します。

Sudo adduser username

そして、ユーザーにパスワードを与えます。次に、sshを使用してログインし、/および他のユーザーのホームフォルダーにcdできることを確認します。私は〜/の外側以外への書き込みアクセス権を持っていないようですが、Sudoグループに追加せずに新しいユーザーがどのような損害を与えるかを正確に考えていましたか?

もっと注意を払い、ユーザーをさらにロックダウンする必要がありますか?

5
Sammi

原則として、その方法で作成されたユーザーは、自分のホームディレクトリ以外では損害を与えることはできません。お気づきのとおり、通常のユーザーはさまざまなディレクトリにアクセスできます(例://usr//tmp)。ほとんどのユーザーがアクセス可能なプログラムは/usr/binおよび/binにあるため、これは必要です。ユーザーがこれらのディレクトリへの(読み取り専用)アクセス権を持っていなかった場合、ユーザーはプログラムを実行できません。ただし、通常のユーザーは他のユーザーのホームディレクトリにアクセスできません。

ls -lコマンドを使用して、ファイルまたはディレクトリの権限を確認できます。ファイル許可の詳細については、 https://help.ubuntu.com/community/FilePermissions を参照してください。

Sshユーザーを少数のプログラムのみに制限することが可能です。 http://www.pizzashack.org/rssh/ および http://www.cyberciti.biz/tips/linux-unix-restrict-Shell-access-with-を参照してくださいrssh.html rsshツールの場合、scprsyncなどのコピーツールのみを実行するようにユーザーを制限します。このようなユーザーは通常ログインしてシェルを取得したり、他のコマンドを実行したりすることはできません。

別のオプションは、「chroot」または「jail」環境を作成することです。 このAskUbuntuの質問 を参照してください。

2
ph0t0nix