Hola, Julio > Quan un d'aquests despistats del grup B, es logueja i s'oblida > de fer kdestroy, el tiquet de kerberos roman durant unes hores > a l'ordinador i en aquest moment, qualsevol usuari amb el compte > local de root pot fer un `su -l usuari_despistat_del_grup_B` Això és el que sospitava, gràcies per explicar-ho amb detall. Malauradament limitar l'ús de su no és suficient per evitar que un usuari amb root es pugui convertir fàcilment en un altre o executar ordres en nom d'un altre: a banda del runuser i setpriv, qualsevol llenguatge de programació prou genèric permetrà cridar les funcions del sistema per fer-ho sense passar pel PAM. Se m'acut que la millor forma de què els alumnes tinguin root però no interfereixin amb d'altres usuaris és que tinguin una màquina virtual per cadascú. Salut, Alex -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada <alexm@debian.org> ⢿⡄⠘⠷⠚⠋ Debian Developer 🍥 log.alexm.org ⠈⠳⣄⠀⠀⠀⠀
Attachment:
signature.asc
Description: PGP signature