Reglamento general de los foros   •   FAQ   •   Buscar en el foro •  Registrarse | Iniciar sesión 



Portada » Foros Linux » Administración del sistema » Seguridad


Nuevo tema Responder al tema
 [ 15 mensajes ] 
Patrocinadores

Autor
Buscar:
Mensaje

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Jul 11, 2012 5:52 pm
Mensajes: 7

Nota Publicado: Mié Jul 11, 2012 6:13 pm 
Arriba  
Buenas queria preguntar cuales son los datos a tener en cuenta para crear un usuario, y restringirlo con sudoers para que tenga permisos solo de lectura y que no se se salte de la misma y con el vi, grep , etc. Queria saber si alguien me podia dar una mano con esto. Saludos!

 Perfil  

Desconectado
Administrador
Administrador
Avatar de Usuario

Registrado: Lun Abr 19, 2010 12:30 am
Mensajes: 3888
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)

Nota Publicado: Mié Jul 11, 2012 6:19 pm 
Arriba  
tu quieres crear un usuario nuevo y que no acceda a los probilegios de super-usuario ?
si es así, basta con no agregarlo al grupo de sudo o en su defecto quitarlo del grupo.

_________________
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Jul 11, 2012 5:52 pm
Mensajes: 7

Nota Publicado: Mié Jul 11, 2012 6:28 pm 
Arriba  
No lo que quiero hacer es crear un Sudoers, que no permita hacer un shell escape y que solo tenga permisos para para cosas elementales para ver y no para editar. Todo a travez del sudoers.

 Perfil  

Desconectado
Administrador
Administrador
Avatar de Usuario

Registrado: Lun Abr 19, 2010 12:30 am
Mensajes: 3888
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)

Nota Publicado: Mié Jul 11, 2012 6:34 pm 
Arriba  
se me ocurre que para eso debes configurar los permisos del grupo sobre cada fichero/directorio ... ahora no se por que razón modificarías sudores para dejarlo como el grupo de usuarios ???

solo por aclarar que sudores no tiene bugs que permitan el logeo sin autorización.

_________________
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

 Perfil WWW  

Desconectado
Forista Ancestral
Forista Ancestral
Avatar de Usuario

Registrado: Jue Abr 12, 2007 7:00 am
Mensajes: 9186
Ubicación: tras la pantalla (...)

Nota Publicado: Mié Jul 11, 2012 6:51 pm 
Arriba  
un usuario comun no puede editar ficheros del sistema, por definicion. esto no es win, salvo que pertenezcas al grupo sudo (o admin, o algo por el estilo), por mucho sudo que le des, te va a decir que no tienes permiso y que reportaran la accion al admin :)

_________________
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Jul 11, 2012 5:52 pm
Mensajes: 7

Nota Publicado: Jue Jul 12, 2012 2:42 am 
Arriba  
Chicos no me explique bien, ahora si tengo tiempo para explicar. Resulta que me piden que haga un configuración de sudoers con visudo para poder limitar el sudo. Limitarlo en que bueno que pueda utilizar todos comandos nomales como ls, grep, cat, less, ls , etc. Osea los comandos basicos, piensen que este sudoers es como para otorgarcelo a alguien de solo lectura . Bueno no se si ahora se entiende mejor.

 Perfil  

Desconectado
Administrador
Administrador
Avatar de Usuario

Registrado: Lun Abr 19, 2010 12:30 am
Mensajes: 3888
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)

Nota Publicado: Jue Jul 12, 2012 3:00 am 
Arriba  
sigues diciendo lo mismo y la respuesta es igual... ¿ para que convertir a sudores en usuarios ?, ahora que si es un ejercicio de la escuela es otra cosa, pero si es una orden de un jefe deberías hacerle ver la burrada que pide.

como cualquier grupo de usuarios en GNU/Linux debes connfigurar los permiso que tiene sobre los /directorio/fichero y otros grupos.

para ello en principio debes saber que permisos tiene sudores en todo el sistema y limitarlos.

busca grupos y suarios en Linux para empezar
luego permisos en Linux
y por ultimo permisos de sudores

_________________
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

 Perfil WWW  

Desconectado
Forista Legendario
Forista Legendario
Avatar de Usuario

Registrado: Dom Oct 10, 2004 7:00 am
Mensajes: 1799

Nota Publicado: Jue Jul 12, 2012 3:09 am 
Arriba  
Creo que deberías tratar de entender el sistema de permisos de Linux.
Sudo significa: Super User Do (hacer como superusuario); no tiene nada que ver con la transpiración. Por lo tanto, el usuario que utilice sudo tendrá momentáneamente permisos de root.

Si lo que quieres es que el usuario pueda, por ejemplo, leer un archivo de configuración de /etc/, entonces no haces nada. El usuario puede leerlo. Lo que no puede es escribir sobre ese archivo. A menos, claro, que su ID esté incorporado en el archivo sudoers, con permisos para editar como root esos archivos.

En cambio, estás preguntando cómo hacer para no pagar una deuda que no tienes... y la respuesta es: no hagas nada.

 Perfil  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Jul 11, 2012 5:52 pm
Mensajes: 7

Nota Publicado: Jue Jul 12, 2012 3:41 pm 
Arriba  
Va de vuelta a ver si ahora mas o menos me entienden o se entiende mejor. Quiero que son sudo solo pueda ejecutar los comandos que yo le digo!

 Perfil  

Desconectado
Administrador
Administrador
Avatar de Usuario

Registrado: Lun Abr 19, 2010 12:30 am
Mensajes: 3888
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)

Nota Publicado: Jue Jul 12, 2012 5:26 pm 
Arriba  
Pero ya te respondí eso !!!

mcun escribió:
........
como cualquier grupo de usuarios en GNU/Linux debes connfigurar los permiso que tiene sobre los /directorio/fichero y otros grupos.
para ello en principio debes saber que permisos tiene sudores en todo el sistema y limitarlos.

busca grupos y usarios en Linux para empezar
luego permisos en Linux
y por ultimo permisos de sudores


Creo que o no lees bien las respuestas o no las interpretas. si leyeras lo que te indico no tendrías mayores problemas teóricos en resolver lo que buscas.

_________________
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809

 Perfil WWW  

Desconectado
Forista Ancestral
Forista Ancestral
Avatar de Usuario

Registrado: Jue Abr 12, 2007 7:00 am
Mensajes: 9186
Ubicación: tras la pantalla (...)

Nota Publicado: Vie Jul 13, 2012 7:05 pm 
Arriba  
Necroraven escribió:
Va de vuelta a ver si ahora mas o menos me entienden o se entiende mejor. Quiero que son sudo solo pueda ejecutar los comandos que yo le digo!


ahora la pregunta tiene sentido. :wink:

sin embargo, estyoy en el portatil y me da muchisima pereza hacertu trabajo (ademas de que mi eeepc no esta por la labor :P), asi que me limitare a darte un par de pistas:

man sudoers (o /etc/sudoers)
man visudo
man sudo

aka, si, el sudoers es exactamente para lo que tu quieres.... pero no tengo ganas de copiarte aqui el man, siendo que ya esta escrito, y muy bien. :wink:

PD: en serio, te pasaria el enlace al man y me molestaria en ver en cual de ellos esta exactamente lo que buscas, peor mi eeepc no da tanto de si, lo siento. :unknown:

_________________
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Jul 11, 2012 5:52 pm
Mensajes: 7

Nota Publicado: Vie Jul 27, 2012 9:23 pm 
Arriba  
Chicos sigo teniendo problemas con esto. Se como poner los cmd que no quiero que ejecute con NOEXEC, pero no se como hacer para ponerle los que quiero que pueda ejecutar y no los demas.
Y tampoco me estan andando el NOPASSWD. Alguien me puede dar una mano con esto . Lo que quiero en total es
Que pueda ejecutar solo los comandos que yo le deje y que todos sean sin pedirle password de SUDO. Saludos.

 Perfil  

Desconectado
Forista Ancestral
Forista Ancestral
Avatar de Usuario

Registrado: Jue Abr 12, 2007 7:00 am
Mensajes: 9186
Ubicación: tras la pantalla (...)

Nota Publicado: Vie Jul 27, 2012 10:07 pm 
Arriba  
:? esto va de quotes, porque ya esta todo escrito.....

niky45 escribió:
asi que me limitare a darte un par de pistas:

man sudoers (o /etc/sudoers)
man visudo
man sudo


leyendo el primero.... http://linux.die.net/man/5/sudoers

me quedo con uno de los ejemplos.....

Citar:
operator ALL = DUMPS, KILL, SHUTDOWN, HALT, REBOOT, PRINTING,\
sudoedit /etc/printcap, /usr/oper/bin/

The operator user may run commands limited to simple maintenance. Here, those are commands related to backups, killing processes, the printing system, shutting down the system, and any commands in the directory /usr/oper/bin/.


relee el man entero :D para que tengas clara la sintaxis de los alias (queda mucho mas elegante), pero ahi tienes tu respuesta: si quieres que tenga acceso SOLO a EDITAR el /etc/X11/xorg.conf, con el editor nano, la sintaxis vendria a ser algo asi:

Código:
user  host=NOPASSWD: /bin/nano /etc/X11/xorg.conf
# user es el usuario, y en host seguramente quieras poner ALL *nota: si, va sin pass.

mas info: http://ubuntuforums.org/showthread.php?t=1132821

:)

PD: para la proxima: si alguien te dice "leete el man", leetelo. porfa. :wink:

_________________
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Jul 11, 2012 5:52 pm
Mensajes: 7

Nota Publicado: Mié Ago 22, 2012 3:34 pm 
Arriba  
Gracias chicos, ya lei, los man. Pero los links que dejaste estan buenisimo , GRACIAS!. Los man no son muy claros. Si tengo algun problema sigo mirando desde ya muchas gracias.

Editado -- Mié Ago 22, 2012 3:22 pm --

Bueno chicos les muestro lo que logre hacer.


RED HAT
%grupo ALL = (root) \
NOPASSWD: /bin/cat, /usr/bin/lastlog, /bin/ls, /usr/bin/tail, /usr/bin/head, \
/bin/pwd, /bin/echo, /bin/cp, /usr/bin/man, /usr/bin/top, /bin/ps, \
/bin/sort, /bin/uname, /usr/bin/scp, /usr/bin/ssh, /bin/tar, /bin/netstat, \
!/usr/sbin/visudo, !/usr/bin/passwd root,\
!/usr/bin/sudo,\
NOEXEC: /bin/find, /bin/grep, /usr/bin/vim, /bin/vi, /bin/view, /usr/bin/less,/bin/more
*Borrar el tmp que se crea al guardar el sudoers.

Pero estoy teniendo un problema a travez de sudo /bin/vi /etc/passwd , puedo editar el archivo con :wq! .
Como puedo hacer para que no pase esto. Acuérdense que estoy necesitando un perfil de solo lectura de los archivos.

 Perfil  

Desconectado
Forista Ancestral
Forista Ancestral
Avatar de Usuario

Registrado: Jue Abr 12, 2007 7:00 am
Mensajes: 9186
Ubicación: tras la pantalla (...)

Nota Publicado: Mié Ago 22, 2012 6:42 pm 
Arriba  
espera. segun el man, noexec lo que hace es:
Citar:
On such systems, sudo's noexec functionality can be used to prevent a program run by sudo from executing any other programs


es decir... noexec me impediria, por ejemplo, hacer un sudo bash mi_script. . lo que no tiene nada que ver con abrir un fichero... (ejecutar != leer....)

por lo que entiendo (no tengo ganas ni tiempo de releer el hilo entero, lo siento), quieres... ejecutar esto:
sudo vi /etc/passwd

y que no permita escribir?? :shock: la idea NO es esa. la idea es: si quieres como solo lectura, prescinde del sudo. si quieres dar a sudo acceso de escritura SOLO a unos pocos ficheros, especificalos como argumentos (ej: ejecutar con 777 vim /etc/apt/sources.list : user ALL = vim /etc/apt/sources.list ). al reves no funciona.

digo, la idea de configurar sudo, es, que sudo SOLO FUNCIONE con los ficheros con los que quieras tener acceso rw. en tu caso, si no quieres poder escribir en el /etc/passwd, la forma es que no aparezca ninguna referencia a vim /etc/passwd en el sudoers. aka, que no aparezca ni vim solo, ni con ese argumento.

no se si me explico.... lo intentare otra vez. :? desde sudoers, puedes hacer que un programa solo tenga acceso a ciertos ficheros. lo que no puedes hacer es que NO tenga acceso a ellos. esto ocurre por defecto, pero para evitar que algo tenga permiso, la opcion es... no darselo. no se si me sigues, porque lo que es yo me he perdido hace rato, pero en fin... intentalo, nos dices lo que has hecho, y yo intento explicarme mejor, pero por ese orden. :wink:

*nota: root tiene acceso rwx a TODO el sistema. si a un user le dejas acceso sudo a un programa (vim), podra hacer con ese programa lo mismo que root. si no quieres que pueda escribir... la solucion es que vim no aparezca en el sudoers. y si necesitas esccribir solo un fichero... ya has visto la sintaxis (no me hagas copiarla otra vez, porfa. :wink: )

PD: aun asi:
niky45 escribió:
un usuario comun (sin sudo) no puede editar ficheros del sistema, por definicion

tengo la impresion de que lo que intentas es que los users no puedan editar ciertos ficheros... pero para eso, no tienes que hacer nada, de por si, no pueden editarlos. :wink:

_________________
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]

 Perfil WWW  
Mostrar mensajes previos:  Ordenar por  
 [ 15 mensajes ] 
Nuevo tema Responder al tema

Saltar a:  


 Temas relacionados   Autor   Respuestas   Vistas   Último mensaje 
Sistema de ficheros de solo lectura

en Seguridad

eburgues

5

2130

Jue Jun 11, 2015 6:38 pm

victorhck Ver último mensaje

Eliminar archivos de solo lectura

en Seguridad

Alcarret

4

9248

Sab Oct 03, 2009 2:14 am

jcarl0s Ver último mensaje

Software & Updates solo lectura

en Software

modio

3

317

Lun Ago 06, 2018 10:42 pm

doc Ver último mensaje

cambiar permisos al Sistema de ficheros de sólo lectura

en Sistema

rocio_doors

4

21482

Lun Oct 22, 2018 10:09 am

pastonga Ver último mensaje



¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group :: Style based on FI Subice by phpBBservice.nl :: Todos los horarios son UTC + 1 hora [ DST ]
Traducción al español por Huan Manwë
phpBB SEO