[Risolto] Negare comandi con SUDO solo ad un utente

[ender]

Ciao a tutti,
ubuntu server 12.04. Ho tre utenti: pippo, pluto e paperino. E questo è il mio /etc/sudoers

Codice: Seleziona tutto

Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

che è quello di default.
Io voglio che il solo utente pippo possa eseguire sudo normalmente, tranne che per il comando "su". Cioè se fa per esempio sudo apt-get upgrade lo fa regolarmente ma se cerca di fottermi scrivento sudo su per diventare root con la sua password questo gli viene negato.
Cosa devo modificare nel mio sudoers? come posso negare uno o più comandi con sudo solo ad un utente? Ah, ovviamente non deve neanche fare visudo, con sudo.

[steff]

Leggendo qui è inutile:
http://serverfault.com/questions/352658 ... ny-sudo-su
e sarebbe meglio prendere la strada di consentire solo certi comandi, tipo apt-get, apt-remove ecc.

Però si potrebbe farlo come spiegato qui:
http://www.linuxquestions.org/questions ... ost4803320

[ender]

Ma io devo farlo per un solo utente, o volendo anche per tutti ma sudo su devo disabilitarlo, solo quello. Non posso fare una lista solo di quello che può fare con sudo perché i comandi sono tutti, io voglio dire a SUDO che PIPPO può fare ALL tranne !/bin/su, non posso credere che non ci sia un motivo... senza utilizzare i permessi speciali.

[steff]

Inserisci in

Codice: Seleziona tutto

sudo visudo 

Codice: Seleziona tutto

## Uncomment to allow members of group wheel to execute any command
 %wheel ALL=(ALL) ALL

Poi come dal secondo link cambia
-rwsr-xr-x. 1 root root 34904 Dec 7 2011 /bin/su
in
-rwsr-x---. 1 root wheel 34904 Dec 7 2011 /bin/su

Codice: Seleziona tutto

 chown :wheel /bin/su
 chmod o-rx /bin/su
 chmod u+s /bin/su
 ls -l /bin/su

Solo gli utenti nel gruppo wheel possono usare su.

[tunnel_net]

Rimuovi l'utente dal gruppo "sudo" e i comandi con sudo non li può dare

Invece per evitare che possa fare "sudo su" devi modificate sudoers

Codice: Seleziona tutto

Cmnd_Alias     SU = /usr/bin/su
%sudo           ALL = /usr/bin/, !SU

e col sudo non può dare su, se dai una occhiata al man sudoers ci dovrebbero essere esempi

[ender]

Col metodo di steff devo cambiare i permessi di /bin/su e abilitare il gruppo wheel, e aggiungere a questo gruppo chi voglio faccia su. Ma a me interessa che non faccia sudo su, non solo su, perché magari l'utente pippo deve poter diventare pluto con su - pluto, ma non su - root, per intenderci.
Il problema me lo risolve il metodo di tunnel_net ma in questo caso tutti gli utenti non potranno fare sudo su, in fondo mi può andar bene perché l'utente deve solo fare l'utente senza mai diventare root, ma può usare sudo.
Potrei forse creare uno script richiamato dal .profile utente dove gli dico che all'immissione di sudo su questo lo insulti pesantemente

Metto risolto.
Grazie

[tunnel_net]

ma in questo caso tutti gli utenti non potranno fare sudo su

Puoi sempre creare il gruppo "supersudo"
e mettere

Codice: Seleziona tutto

%supersudo ALL=(ALL) ALL

quelli nel gruppo sudo non fanno su
quelli nel gruppo supersudo fanno tutto

[rai]

Scusate se intervengo a questione dichiarata risolta ma leggo solo adesso questa discussione
E se il malfamato utente pippo fosse uno che si legge i manuali e decidesse di fare

Codice: Seleziona tutto

sudo -i

o anche

Codice: Seleziona tutto

sudo -s

come glielo impedisci di scorrere tutto il sistema come root?

[tunnel_net]

Cioè se fa per esempio sudo apt-get upgrade lo fa regolarmente ma se cerca di fottermi scrivento sudo su per diventare root con la sua password questo gli viene negato.

Considerazione corretta..
solo che la discussione verteva su una domanda precisa di Ender, a cui si è risposto senza considerare la stranezza della domanda, banalmente se posso fare sudo posso anche modifcare il file sudoers e darmi tutte le autorizzazioni possibili, inoltre con sudo si può fare tutto, altro che "cercare di fottermi", Inoltre potrei dire che da un punto di vista della sicurezza abilitare ad un utente sudo vuol dire dargli le credenziali di superuser sia che possa o meno fare su,
Ma al di là della stranezza della domanda, perche non dare soddisfazione a Ender

[rai]

Ma al di là della stranezza della domanda, perche non dare soddisfazione a Ender

Non sono d'accordo, nel senso che non mi sembra un ragionare nella policy di questo forum

Che sia ender o un altro che legge in futuro facendo una ricerca, è meglio che sappia con chiarezza che la questione NON È RISOLTA e che in questo modo resta esposto potenzialmente a guai enormi.
Solo perchè faccio domande sbagliate non vuol dire che devo morire ignorante: ma se quelli che che sanno di più non me lo dicono, come faccio a impararlo?