Запрет на выполнение команды passwd

[StrangerSerg]

Имеется 4 пользователя в системе ну и root соответсвенно.
У двоих пользователей есть доступ к команде sudo.
Необходимо что бы команду passwd мог выполнять только root.
т.е что бы даже вот такая команда запущена пользователем sudo passwd user не отрабатывалась.
Реально?

[Karl500]

И да, и нет. При редактировании visudo:

- заводите алиас

Код: [Выделить]

Cmnd_Alias    PSWD = /usr/bin/passwd, /usr/sbin/visudo
- меняете разрешения группе sudo (или той, которой разрешено sudo)

Код: [Выделить]

%sudo   ALL=(ALL:ALL) ALL , !PSWD
В алиас добавлена команда visudo, чтобы не было возможности изменить собственно список sudoers. На самом деле, есть еще куча способов изменить этот список, так что в принципе особого смысла такой запрет не имеет.

[victor00000]

sudo - Без пароля -> http://paste.ubuntu.com/8274823/

[Karl500]

Это здесь вообще не к месту.

[StrangerSerg]

Итог:
выполняем команду

Код: [Выделить]

sudo visudoКоментируем или удаляем строку:
 

Код: [Выделить]

%sudo   ALL=(ALL:ALL) ALLи добавляем новую
 

Код: [Выделить]

%sudo   ALL=(root) /usr/bin/apt-get, /usr/bin/passwd, !/usr/bin/passwd root
Пользователь успешно может устанавливать программы (/usr/bin/apt-get) но от имени рута т.е с использованием sudo запрещено исполнять команду passwd (!/usr/bin/passwd root)

[victor00000]

ну, новый скрипт к файл /usr/bin/user-passwd.sh

Код: [Выделить]

#!/bin/bash
passwd user
и постав

Код: [Выделить]

user ALL=(ALL) NOPASSWD:/usr/bin/user-passwd.sh


[alexxnight]

А давайте попробуем зайти с другой стороны.
Вы дали sudo-доступ пользователем для выполнения каких программ?
Есть вариант поместить этих пользователей в отдельную группу и дать доступ этой группе к определенному списку программ, за исключением passwd.

[victor00000]

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

L~$
L~$ sudo lxc-start -n a -d
[sudo] password for victor00000:
L~$
L~$ ssh a@a
a@a's password:
Welcome to Ubuntu 14.04.1 LTS (GNU/Linux 3.13.0-29-generic i686)

 * Documentation:  https://help.ubuntu.com/

a@a:~$
a@a:~$ sudo user-passwd.sh
[sudo] password for a:
Введите новый пароль UNIX:
Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
a@a:~$
a@a:~$ sudo nano /usr/bin/user-passwd.sh
a@a:~$
a@a:~$ exit
выход
Connection to a closed.
L~$ ssh root@a
root@a's password:
Welcome to Ubuntu 14.04.1 LTS (GNU/Linux 3.13.0-29-generic i686)

 * Documentation:  https://help.ubuntu.com/

root@a:~#
root@a:~#
root@a:~# id -Gn a | sed 's/ /,/g'
a,adm,cdrom,sudo,dip,plugdev,lpadmin,sambashare
root@a:~#
root@a:~# id -Gn a | sed 's/sudo //g;s/ /,/g'
a,adm,cdrom,dip,plugdev,lpadmin,sambashare
root@a:~#
root@a:~# usermod -G `id -Gn a | sed 's/sudo //g;s/ /,/g'` a
root@a:~#
root@a:~# id -Gn a
a adm cdrom dip plugdev lpadmin sambashare
root@a:~#
root@a:~#
root@a:~# cat /etc/sudoers.d/90-cloudimg-a
a ALL=(ALL) PASSWD:/usr/bin/user-passwd.sh
root@a:~#
root@a:~# exit
выход
Connection to a closed.
L~$
L~$ ssh a@a
a@a's password:
Welcome to Ubuntu 14.04.1 LTS (GNU/Linux 3.13.0-29-generic i686)

 * Documentation:  https://help.ubuntu.com/

a@a:~$
a@a:~$
a@a:~$
a@a:~$
a@a:~$ sudo nano /usr/bin/user-passwd.sh
[sudo] password for a:
Пользователю a запрещено выполнять '/usr/bin/nano /usr/bin/user-passwd.sh' с правами root на a.
a@a:~$
a@a:~$ sudo user-passwd.sh
[sudo] password for a:
Введите новый пароль UNIX:
Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
a@a:~$
a@a:~$ exit
выход
Connection to a closed.
L~$
L~$ sudo lxc-stop -n a
L~$
L~$



[Karl500]

Я просто хотел сказать следующее:

1. В механизме sudo существует механизм исключения (списка) команд из доступных
2. Однако вариант "разрешить все, кроме" не работает по причине того, что изменение списка sudoers возможно произвести кучей разных способов (а не только выполнением команды visudo). Это дает возможность разрешить себе выполнение и "запрещенной" команды.

Соответственно, наилучший метод - это давать разрешение только на требуемый список команд (следя при этом за тем, чтобы при помощи этих команд нельзя было бы изменить список sudoers).

Есть, впрочем, еще один вариант - установить на все файлы в папке /etc/sudoers.d/ , на папку /etc/sudoers.d и на файл /etc/sudoers атрибут "i", запретив нужной группе/пользователю предварительно выполнение команды /usr/bin/chattr

Но это нужно проверять - возможно и в этом случае найдется способ "обхода" этого запрета.
Пользователь решил продолжить мысль 08 Июля 2015, 15:28:49:А вообще, стоит, видимо, поверить написанному в man sudoers

Limitations of the ‘!’ operator
     It is generally not effective to “subtract” commands from ALL using the
     ‘!’ operator.  A user can trivially circumvent this by copying the
     desired command to a different name and then executing that.  For exam‐
     ple:

     bill    ALL = ALL, !SU, !SHELLS

     Doesn't really prevent bill from running the commands listed in SU or
     SHELLS since he can simply copy those commands to a different name, or
     use a shell escape from an editor or other program.  Therefore, these
     kind of restrictions should be considered advisory at best (and rein‐
     forced by policy).

     In general, if a user has sudo ALL there is nothing to prevent them from
     creating their own program that gives them a root shell (or making their
     own copy of a shell) regardless of any ‘!’ elements in the user specifi‐
     cation.