Re: Limitar comandos a un usuario

[Roberto Leon Lopez <i32lelor.debian@gmail.com>]

Para el Esquema Nacional de Seguridad las primeras auditorías ya nos impusieron el uso de cuentas específicas de administrador. Para una certificación del Reino Unido llamada CyberEssentials también se nos impone las cuentas de administrador separadas de las que no tiene privilegios. Eso no es nada nuevo y lo comprendo.

Aquí la cuestión es separar y tener medidas de contención, han comentado SELinux que desde luego es el método más complejo y es una gestión adicional. Además me preocupa la implementación que haga Debian.

Yo tampoco entiendo por qué el auditor específicamente nos indica que su y sudo no son suficientes, aunque en el aspecto técnico de sudo además aparecen deficiencias que se pueden leer en este hilo: https://forums.freebsd.org/threads/poettering-announces-tool-in-new-systemd-version-to-replace-sudo.93389/ Los chicos de FreeBSD optaron por reducir el grado de exposición y como buena filosofía que tiene en lugar de tirarlo todo y venir con algo nuevo lo que hicieron fue reducir y simplificarlo creando “doas".

Por ahora estamos peleando una combinación de cuentas sin privilegios con sus grupos de permisos, más la cuenta con privilegio pero no el root total sino sólo lo que necesiten mediante grupos de permisos, y esperemos que vean un simple `su - usuario_Adm` como suficiente.

Gracias.

El 23 dic 2024, a las 17:35, Marco <marcomtzg@gmail.com> escribió:

Para eso existe Sudo, durante muchos años Debian se caracterizo por su comunidad de usuarios con buen nivel de conocimiento e investigación, SUDO es cultura general.

su y sudo… no son cuentas, que es eso de cuentas paralelas?… lo que necesitan es un perfilado de usuarios 

No importa que comando o paquete utilicen, siempre dependerá de sudo a menos que se cargue como un modulo de kernel y eso es mas que sudo!,

Marco

On Mon 23 Dec 2024 at 8:37 a.m. Parodper <parodper@gmail.com> wrote:

O 23/12/24 ás 11:09, Roberto Leon Lopez escribiu:
> Por requisitos de una auditoria el uso de “su" y “sudo" debe ser sustituido por una cuenta paralela para tareas administrativas, sin usar nunca root ni ninguna cuenta genérica.
>
> Se ha mencionado el uso de lshell, una shell que permite limitar los comandos que puede ejecutar un usuario que tenga una función ocasional de administrador muy concreta y para mitigar posibles daños. Ya no hay paquetes en Debian para lshell, ¿hay alguna otra alternativa para conseguir el control deseado?

No soy yo un experto, pero que yo sepa sudo ya permite configurar que
usuarios pueden ejecutar qué comandos. También podrías limitarlo
cambiando los permisos de grupo de los binarios.