sudoers – How-To Exclusion List

Vor Kurzem lief mir folgendes Scenario über den Weg:

Ein SAP System wird auf SLES 12 Server betrieben. Hier haben zum einen die Administratoren Zugang, unteranderem aber auch die Kollegen aus dem Support Team.

Da die Benutzer sich nur via Named-Usern am Linux Anmelden können, müssen diese, um Administrative Rechte zu erlangen, mit sudo einen Benutzerwechsel durchführen.

Bisher war die Konfiguration recht einfach gehalten: Alle Named-User hatten komplette root Rechte über sudo.

Um nun zu verhindern, dass die Benutzer des Supports in den Kontext des Benutzers root oder weiteren erhöhten Benutzern wechseln können, kann man in der sudoers eine Exclusion List definieren.

Definiert wird die Liste mit Hilfe eines Alias. Hierfür gibt es den sogenannten Runas_Alias.

zB.:

Runas_Alias RESTRICTED = root

Ebenso Definiert man einen User_Alias für die Benutzer:

User_Alias AD_SUPPORT_USER = %support_user

Vorweg der Logische Aufbau eines sudoers Eintrags:

<Benutzer/Alias>        <Quell Host> = <User Kontext> <Kommando>

Nun baut man auf folgende Weise den sudoers Eintrag zusammen:

AD_SUPPORT_USER          ALL = (ALL,!RESTRICTED) NOPASSWD:ALL

Der Eintrag bewirkt folgendes:

Alle Benutzer, welche Bestandteil des Alias AD_SUPPORT_USER sind, dürfen von jedem Host, alle Befehle ausführen und in jeden Benutzer Kontext wechseln, außer zu jenen Usern welche in dem Alias RESTRICTED definiert sind. Das ganze, ohne Passwortabfrage, da die Option NOPASSWD gesetzt ist.

Durch den Eintrag des Benutzer Kontextes legt man fest dass alle Benutzer (ALL) außer die Benutzer des Alias RESTRICTED (!RESTRICTED) verwendet werden dürfen.

Die Mitarbeiter können zum Beispiel mit Hilfe des folgenden Befehls:

sudo -u www-data /bin/bash

in eine BASH Session des Benutzers www-data wechseln.

Schlagwörter: bash, linux, Security, Ubuntu