viernes, 3 de marzo de 2017

Cómo desactivar ciertos comandos a un usuario específico


Con la finalidad de aprender mas sobre políticas en estaciones de trabajo linux se realiza este post, donde se explicara como desactivar ciertos comandos como chmod, chown y rm a un usuario especifico en el equipo y tomando en cuenta que ni en su propio home “/home/nom_usuario” pueda ejecutarlo.

Primero lo intente con visudo pero luego desistí de esa idea ya que se usa “sudo” para darle poder de “root” a un usuario en ciertas circunstancias, es decir, se puede negar un comando usando exclamación, por ejemplo “!/bin/ls”, obviamente cuando haga “sudo ls” no va poder ejecutar el comando, pero si lo hace en su home si lo va poder hacer sin hacer uso de “sudo”, entonces esto no era lo que se necesitaba. Se quería que no lo ejecutara en ningún y por ningún lado.

Al investigar me encontré con “lshell”, esta herramienta permite bloquear comandos a usuarios permitiendo así mejorar las políticas dentro de sus equipos con Linux. 

A continuación se detallan los pasos de instalación y uso de esta herramienta:

Debian 8

Instalación
root@Laptop-Debian:/home/usuario# aptitude install lshell


Configuración
Luego de instalar se procede a editar este archivo “/etc/lshell.conf”



Una vez que se ingresa al archivo "/etc/lshell.com" se procede a ingresar al final del archivo el usuario que queremos bloquearle el uso de ciertos comandos:

[nombre-usuario]
allowed = 'all' - ['chmod', 'chown', 'rm']

allowed = Permite
all = todo los comandos
- = menos
['chmod', 'chown', 'rm'] = comandos a bloquear


Por ultimo se guardan los cambios y ejecutar el siguiente comando 

root@Laptop-Debian:/home/usuario# chsh -s /usr/bin/lshell nombre-usuario


Si todos los pasos fueron realizados satisfactoriamente, el usuario “nombre-usuario” no podrá ejecutar chmod, chown y rm de ninguna manera

Ref: https://technomoreblog.wordpress.com/2016/08/30/como-desactivar-cierto-comandos-a-un-usuario-especifico/

No hay comentarios:

Publicar un comentario