Configuració de privilegis

Araceli Saldaña Martinez – SMX >> Configuració de privilegis

En aquest apartat he configurat privilegis totals per als usuaris nominals dels membres de l’equip (Iman, Jan i Araceli).

També configuraré l’usuari “super” sense cap privilegi, i l’usuari “major” tindrà privilegis per gestionar la xarxa del SO i els serveis.

Després d’això configuraré usuari ‘root’ i podrem treballar tots amb el nostre usuari nominal i no utilitzarem mai l’usuari root, i si algú ho intenta no podrà, ja que el deixaré deshabilitat.

💻 Eliminem els Privilegis de l’Usuari “super”

A la terminal, el meu objectiu és comprovar i eliminar qualsevol privilegi d’administració de l’usuari anomenat 'super
Mostrar grups actuals:
-groups super

I eliminar-ho dels que está:
-sudo deluser super sudo
-sudo deluser super adm
-sudo deluser super lpadmin
-sudo deluser super netdev
-sudo deluser super docker

Deixar-ho només amb el seu grup principal.
-sudo usermod -G $(id -gn super) super

Verificar:
id super
sudo -l -U super
Hauria de dir: “user super is not allowed to run sudo”

💻 Donar permisos de xarxa i serveis a ‘major’

1. Primer de tot, necessito assegurar-me que tinc un grup administratiu creat específicament per a aquesta tasca, que és donar permisos de xarxa i serveis al rol “major”:
sudo groupadd -f netadmin
sudo usermod -aG netadmin major

2. Obro un fitxer de configuració per a sudo (amb visudo per evitar errors):
sudo visudo -f /etc/sudoers.d/netadmin

3. Afegeix-ho aquest contingut que permet als membres del grup netadmin gestionar la xarxa i els serveis

%netadmin ALL=(root) NOPASSWD: /usr/bin/nmcli, /bin/systemctl start *, /bin/systemctl stop *, /bin/systemctl restart *, /bin/systemctl status *
[ nmcli és l’eina per gestionar NetworkManager (connexions de xarxa).
systemctl serveix per controlar els serveis (start, stop, restart, status).]

4. Desem (Ctrl + O) i surtim (Ctrl + X).
'visudo‘ comprovarà automàticament que no hi hagi errors.
5. Verifico que major té els permisos correctes:
sudo -l -U major
(Hauria de sortir només nmcli i systemctl.)

💻 4. Deshabilitar completament l’usuari root

Bloquejo l’accés amb contrasenya de l’usuari root:
comanda: sudo passwd -l root
Comprovo l’estat: sudo passwd -S root
Ha de sortir una “L” (locked). Això vol dir que ningú pot iniciar sessió com a root.

Ho provo:
su – (Ha de respondre: Authentication failure)


Oculto root a la pantalla d’inici de sessió (LightDM):
Edito el fitxer de configuració:
sudo nano /etc/lightdm/lightdm.conf
Afegeix-ho aquestes línies:
[Seat:*]
greeter-hide-users=false
greeter-show-manual-login=false
allow-guest=false
Guardo (Ctrl + O) i surto (Ctrl + X)
Això impedeix que algú pugui escriure “root” al login gràfic.

Evito l’ús de sudo su o sudo -i:
Com la rúbrica exigeix que ningú pugui obrir una shell com a root, ni tan sols amb sudo, faig això:
sudo visudo -f /etc/sudoers.d/norootshell
Insereixo aixó:
Cmnd_Alias SU = /bin/su, /bin/su -, /usr/bin/sudo su, /usr/bin/sudo -i
ALL ALL=(ALL:ALL) ALL, !SU

Comprovacions finals:

Usuari root bloquejat: sudo passwd -S root (ha de mostrar L (locked)
Usuari super sense privilegis: sudo -l -U super (“may not run sudo”)
Usuari major amb permisos específics: sudo -l -U majo (només nmcli i systemctl)

Prova pràctica:
Des de major:
sudo nmcli device status
sudo systemctl restart NetworkManager
Ha de funcionar.

Des de super:
sudo nmcli device status
Ha de dir que l’usuari no és al fitxer sudoers

Habilitar root un altre cop

Tornar a habilitar root:
sudo passwd root

Donar privilegis de nou a super:
sudo usermod -aG sudo super

Eliminar la configuració especial:
sudo rm /etc/sudoers.d/90-netadmin
sudo rm /etc/sudoers.d/norootshell

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

TOP