Config Sudoers solo Lectura

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
Necroraven
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Mié Jul 11, 2012 5:52 pm

Config Sudoers solo Lectura

Mensaje por Necroraven » Mié Jul 11, 2012 6:13 pm

Buenas queria preguntar cuales son los datos a tener en cuenta para crear un usuario, y restringirlo con sudoers para que tenga permisos solo de lectura y que no se se salte de la misma y con el vi, grep , etc. Queria saber si alguien me podia dar una mano con esto. Saludos!
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por mcun » Mié Jul 11, 2012 6:19 pm

tu quieres crear un usuario nuevo y que no acceda a los probilegios de super-usuario ?
si es así, basta con no agregarlo al grupo de sudo o en su defecto quitarlo del grupo.
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Necroraven
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Mié Jul 11, 2012 5:52 pm

Re: Config Sudoers solo Lectura

Mensaje por Necroraven » Mié Jul 11, 2012 6:28 pm

No lo que quiero hacer es crear un Sudoers, que no permita hacer un shell escape y que solo tenga permisos para para cosas elementales para ver y no para editar. Todo a travez del sudoers.
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por mcun » Mié Jul 11, 2012 6:34 pm

se me ocurre que para eso debes configurar los permisos del grupo sobre cada fichero/directorio ... ahora no se por que razón modificarías sudores para dejarlo como el grupo de usuarios ???

solo por aclarar que sudores no tiene bugs que permitan el logeo sin autorización.
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
niky45
Forista Ancestral
Forista Ancestral
Mensajes: 9186
Registrado: Jue Abr 12, 2007 7:00 am
Ubicación: tras la pantalla (...)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por niky45 » Mié Jul 11, 2012 6:51 pm

un usuario comun no puede editar ficheros del sistema, por definicion. esto no es win, salvo que pertenezcas al grupo sudo (o admin, o algo por el estilo), por mucho sudo que le des, te va a decir que no tienes permiso y que reportaran la accion al admin :)
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]
Necroraven
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Mié Jul 11, 2012 5:52 pm

Re: Config Sudoers solo Lectura

Mensaje por Necroraven » Jue Jul 12, 2012 2:42 am

Chicos no me explique bien, ahora si tengo tiempo para explicar. Resulta que me piden que haga un configuración de sudoers con visudo para poder limitar el sudo. Limitarlo en que bueno que pueda utilizar todos comandos nomales como ls, grep, cat, less, ls , etc. Osea los comandos basicos, piensen que este sudoers es como para otorgarcelo a alguien de solo lectura . Bueno no se si ahora se entiende mejor.
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por mcun » Jue Jul 12, 2012 3:00 am

sigues diciendo lo mismo y la respuesta es igual... ¿ para que convertir a sudores en usuarios ?, ahora que si es un ejercicio de la escuela es otra cosa, pero si es una orden de un jefe deberías hacerle ver la burrada que pide.

como cualquier grupo de usuarios en GNU/Linux debes connfigurar los permiso que tiene sobre los /directorio/fichero y otros grupos.

para ello en principio debes saber que permisos tiene sudores en todo el sistema y limitarlos.

busca grupos y suarios en Linux para empezar
luego permisos en Linux
y por ultimo permisos de sudores
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
neurus
Forista Legendario
Forista Legendario
Mensajes: 1801
Registrado: Dom Oct 10, 2004 7:00 am

Re: Config Sudoers solo Lectura

Mensaje por neurus » Jue Jul 12, 2012 3:09 am

Creo que deberías tratar de entender el sistema de permisos de Linux.
Sudo significa: Super User Do (hacer como superusuario); no tiene nada que ver con la transpiración. Por lo tanto, el usuario que utilice sudo tendrá momentáneamente permisos de root.

Si lo que quieres es que el usuario pueda, por ejemplo, leer un archivo de configuración de /etc/, entonces no haces nada. El usuario puede leerlo. Lo que no puede es escribir sobre ese archivo. A menos, claro, que su ID esté incorporado en el archivo sudoers, con permisos para editar como root esos archivos.

En cambio, estás preguntando cómo hacer para no pagar una deuda que no tienes... y la respuesta es: no hagas nada.
Necroraven
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Mié Jul 11, 2012 5:52 pm

Re: Config Sudoers solo Lectura

Mensaje por Necroraven » Jue Jul 12, 2012 3:41 pm

Va de vuelta a ver si ahora mas o menos me entienden o se entiende mejor. Quiero que son sudo solo pueda ejecutar los comandos que yo le digo!
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por mcun » Jue Jul 12, 2012 5:26 pm

Pero ya te respondí eso !!!
mcun escribió:........
como cualquier grupo de usuarios en GNU/Linux debes connfigurar los permiso que tiene sobre los /directorio/fichero y otros grupos.
para ello en principio debes saber que permisos tiene sudores en todo el sistema y limitarlos.

busca grupos y usarios en Linux para empezar
luego permisos en Linux
y por ultimo permisos de sudores
Creo que o no lees bien las respuestas o no las interpretas. si leyeras lo que te indico no tendrías mayores problemas teóricos en resolver lo que buscas.
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
niky45
Forista Ancestral
Forista Ancestral
Mensajes: 9186
Registrado: Jue Abr 12, 2007 7:00 am
Ubicación: tras la pantalla (...)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por niky45 » Vie Jul 13, 2012 7:05 pm

Necroraven escribió:Va de vuelta a ver si ahora mas o menos me entienden o se entiende mejor. Quiero que son sudo solo pueda ejecutar los comandos que yo le digo!
ahora la pregunta tiene sentido. :wink:

sin embargo, estyoy en el portatil y me da muchisima pereza hacertu trabajo (ademas de que mi eeepc no esta por la labor :P), asi que me limitare a darte un par de pistas:

man sudoers (o /etc/sudoers)
man visudo
man sudo

aka, si, el sudoers es exactamente para lo que tu quieres.... pero no tengo ganas de copiarte aqui el man, siendo que ya esta escrito, y muy bien. :wink:

PD: en serio, te pasaria el enlace al man y me molestaria en ver en cual de ellos esta exactamente lo que buscas, peor mi eeepc no da tanto de si, lo siento. :unknown:
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]
Necroraven
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Mié Jul 11, 2012 5:52 pm

Re: Config Sudoers solo Lectura

Mensaje por Necroraven » Vie Jul 27, 2012 9:23 pm

Chicos sigo teniendo problemas con esto. Se como poner los cmd que no quiero que ejecute con NOEXEC, pero no se como hacer para ponerle los que quiero que pueda ejecutar y no los demas.
Y tampoco me estan andando el NOPASSWD. Alguien me puede dar una mano con esto . Lo que quiero en total es
Que pueda ejecutar solo los comandos que yo le deje y que todos sean sin pedirle password de SUDO. Saludos.
Avatar de Usuario
niky45
Forista Ancestral
Forista Ancestral
Mensajes: 9186
Registrado: Jue Abr 12, 2007 7:00 am
Ubicación: tras la pantalla (...)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por niky45 » Vie Jul 27, 2012 10:07 pm

:? esto va de quotes, porque ya esta todo escrito.....
niky45 escribió:asi que me limitare a darte un par de pistas:

man sudoers (o /etc/sudoers)
man visudo
man sudo
leyendo el primero.... http://linux.die.net/man/5/sudoers

me quedo con uno de los ejemplos.....
operator ALL = DUMPS, KILL, SHUTDOWN, HALT, REBOOT, PRINTING,\
sudoedit /etc/printcap, /usr/oper/bin/

The operator user may run commands limited to simple maintenance. Here, those are commands related to backups, killing processes, the printing system, shutting down the system, and any commands in the directory /usr/oper/bin/.
relee el man entero :D para que tengas clara la sintaxis de los alias (queda mucho mas elegante), pero ahi tienes tu respuesta: si quieres que tenga acceso SOLO a EDITAR el /etc/X11/xorg.conf, con el editor nano, la sintaxis vendria a ser algo asi:

Código: Seleccionar todo

user  host=NOPASSWD: /bin/nano /etc/X11/xorg.conf 
# user es el usuario, y en host seguramente quieras poner ALL *nota: si, va sin pass.

mas info: http://ubuntuforums.org/showthread.php?t=1132821

:)

PD: para la proxima: si alguien te dice "leete el man", leetelo. porfa. :wink:
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]
Necroraven
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Mié Jul 11, 2012 5:52 pm

Re: Config Sudoers solo Lectura

Mensaje por Necroraven » Mié Ago 22, 2012 3:34 pm

Gracias chicos, ya lei, los man. Pero los links que dejaste estan buenisimo , GRACIAS!. Los man no son muy claros. Si tengo algun problema sigo mirando desde ya muchas gracias.

Editado -- Mié Ago 22, 2012 3:22 pm --

Bueno chicos les muestro lo que logre hacer.


RED HAT
%grupo ALL = (root) \
NOPASSWD: /bin/cat, /usr/bin/lastlog, /bin/ls, /usr/bin/tail, /usr/bin/head, \
/bin/pwd, /bin/echo, /bin/cp, /usr/bin/man, /usr/bin/top, /bin/ps, \
/bin/sort, /bin/uname, /usr/bin/scp, /usr/bin/ssh, /bin/tar, /bin/netstat, \
!/usr/sbin/visudo, !/usr/bin/passwd root,\
!/usr/bin/sudo,\
NOEXEC: /bin/find, /bin/grep, /usr/bin/vim, /bin/vi, /bin/view, /usr/bin/less,/bin/more
*Borrar el tmp que se crea al guardar el sudoers.

Pero estoy teniendo un problema a travez de sudo /bin/vi /etc/passwd , puedo editar el archivo con :wq! .
Como puedo hacer para que no pase esto. Acuérdense que estoy necesitando un perfil de solo lectura de los archivos.
Avatar de Usuario
niky45
Forista Ancestral
Forista Ancestral
Mensajes: 9186
Registrado: Jue Abr 12, 2007 7:00 am
Ubicación: tras la pantalla (...)
Contactar:

Re: Config Sudoers solo Lectura

Mensaje por niky45 » Mié Ago 22, 2012 6:42 pm

espera. segun el man, noexec lo que hace es:
On such systems, sudo's noexec functionality can be used to prevent a program run by sudo from executing any other programs
es decir... noexec me impediria, por ejemplo, hacer un sudo bash mi_script. . lo que no tiene nada que ver con abrir un fichero... (ejecutar != leer....)

por lo que entiendo (no tengo ganas ni tiempo de releer el hilo entero, lo siento), quieres... ejecutar esto:
sudo vi /etc/passwd
y que no permita escribir?? :shock: la idea NO es esa. la idea es: si quieres como solo lectura, prescinde del sudo. si quieres dar a sudo acceso de escritura SOLO a unos pocos ficheros, especificalos como argumentos (ej: ejecutar con 777 vim /etc/apt/sources.list : user ALL = vim /etc/apt/sources.list ). al reves no funciona.

digo, la idea de configurar sudo, es, que sudo SOLO FUNCIONE con los ficheros con los que quieras tener acceso rw. en tu caso, si no quieres poder escribir en el /etc/passwd, la forma es que no aparezca ninguna referencia a vim /etc/passwd en el sudoers. aka, que no aparezca ni vim solo, ni con ese argumento.

no se si me explico.... lo intentare otra vez. :? desde sudoers, puedes hacer que un programa solo tenga acceso a ciertos ficheros. lo que no puedes hacer es que NO tenga acceso a ellos. esto ocurre por defecto, pero para evitar que algo tenga permiso, la opcion es... no darselo. no se si me sigues, porque lo que es yo me he perdido hace rato, pero en fin... intentalo, nos dices lo que has hecho, y yo intento explicarme mejor, pero por ese orden. :wink:

*nota: root tiene acceso rwx a TODO el sistema. si a un user le dejas acceso sudo a un programa (vim), podra hacer con ese programa lo mismo que root. si no quieres que pueda escribir... la solucion es que vim no aparezca en el sudoers. y si necesitas esccribir solo un fichero... ya has visto la sintaxis (no me hagas copiarla otra vez, porfa. :wink: )

PD: aun asi:
niky45 escribió:un usuario comun (sin sudo) no puede editar ficheros del sistema, por definicion
tengo la impresion de que lo que intentas es que los users no puedan editar ciertos ficheros... pero para eso, no tienes que hacer nada, de por si, no pueden editarlos. :wink:
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje