Надежные su+sudo и selinux

user1548815

12.01.2023, 03:08

Мой Не-Сисадмин-Босс хочет, чтобы я объяснил это, но я не могу найти ответ? При использовании TENABLE SC для сканирования системы RHEL7 учетная запись, используемая для сканирования, подключается через ssh, а затем использует sudo для выполнения своих проверок. Но когда selinux применяет некоторые проверки, они не могут быть выполнены, одна из таких проверок выполняет проверку /etc/passwd, но отклоняется при принудительном selinux. Обходной путь заключается в настройке SC для использования su + sudo для подключения учетной записи. Сначала SC устанавливает ssh-соединение с непривилегированной учетной записью, затем выполняет su для пользователя с правами sudo, который может запускать проверки, и теперь они работают. Итак, в основном я пытаюсь понять, почему вход в систему напрямую с пользователем sudo для запуска определенных проверок терпит неудачу с применением selinux, но вход в систему, а затем выполнение su для пользователя sudo может. Статьи Tenable об этом на самом деле не охватывают аспекты selinux.

0 + 0

судо

setgid

рхел7

Tom Yan

12.01.2023, 05:37

Определите `su+sudo`. Вы запускали `sudo su`, а затем `cat /etc/passwd`, или просто `su`, а затем запускали `sudo cat /etc/passwd`? Если вы имеете в виду последнее, то, вероятно, вы глупы, так как вам не нужно sudo, чтобы быть пользователем root, когда вы уже являетесь пользователем root. Если вы имеете в виду первое, то, вероятно, SELinux глуп/бесполезен. По крайней мере, разумно считать sudo менее безопасным, чем su, поскольку sudo может разрешить повышение привилегий без необходимости root/любого пароля.Но если он только блокирует чтение некоторых файлов с помощью sudo, но не запускает su, то мда.

Ответить

djdomi

12.01.2023, 16:01

В этом случае вы можете запустить su -c cmd, вам не нужно будет использовать su sudo cmd

Ответить

Admin

Этот вопрос на других языках:

EN: Tenable su+sudo and selinux

TH: รองรับ su+sudo และ selinux

RO: Tenable su+sudo și selinux

RU: Надежные su+sudo и selinux

VI: Sử dụng được su+sudo và selinux

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.