Как дать права root с ограничением?

Question

[Денис]

Доброго дня.
Необходимо создать пользователя с root права, но с некоторыми ограничениями.
Например:
1) созданный пользователь имел root права, но не мог удалить выше стоящего пользователя(первого пользователя или главного пользователя root) или не смог забрать у него root права.
2) созданный пользователь с root права не, смог отменить созданное выше стоящего(первого сощданногр пользователя с root)
3) созданный пользователь не смог бы создавать нового пользователя без согласования с вышестоящим пользователем root.
4) созданный пользователь не смог бы остановить или удалить критически важные программы/сервисы.
Я понимаю, кто то может сказать просто не давай такому пользователю root права и все. Но ситуация такова, что все же необходимо создать такого пользователя
Как говориться, сегодня он хороший пользователь, а завтра ему что то в голову влезет и начнёт пакостить. Вот и хочу обезопасить себя..
Подскажите, как лучше все это сделать?

Comments

[Everything_is_bad]

для чего именно ему нужен root? может ему просто разрешить какие-то ограниченные действия через sudo?

[Денис]

Everything_is_bad, разные задачи. Например в отсутствии админа, что бы этот пользователь мог админить. Есть ещё некоторые задачи..

[Владислав Лысков]

вообще хорошей практикой считается отключать системного рута и работать от пользователя через судо, и НИКОГДА ничего не делать от рута, а не множить их

[Виктор Кожухарь]

Вам бесплатный совет, который надо запомнить на всю жизнь: никогда не давайте никому root права. Даже сами не пользуйтесь root учёткой, а создайте себе самому пользователя, который может использовать sudo.
Это как мыть руки перед едой - вопрос гигиены. Да, 999 раз из 1000 ничего не случится, но в самый неподходящий момент подхватите какую-то такую болячку, которая 10 лет жизни заберёт.
Создайте группу, создайте права для этой группы, создайте пользователя для этой группы. Потратьте какое-то время, но обезопасьте себя.

[shurshur]

Денис, проще всего поднимать виртуалки или LXC-контейнеры, внутри которых уже давать права. Если даже недоадмин что-то отберёт - владелец хост-системы всегда может это вылечить.

Но в целом лучше иначе смотреть на мир. Надо не "права отбирать" или какие-то такие формулировки, а выделять в своей инфраструктуре сервисы, работающих с ними людей и разделение строить на этом. Например, почтовый сервер - отдельный сервер/виртуалка, куда имеют доступ люди, которым можно администрировать почту. Для их задач или давать им админские доступы, или писать инструменты, которые закрывают их задачи, не давая админский доступ напрямую. Админ сайта или админ CRM при этом могут не иметь даже юзера на сервере почты - не то что админить его.

Создание пользователя в Linux - это добавление строчек в /etc/passwd и /etc/shadow. Соответственно, чтобы пользователь мог создать/удалить другого пользователя, ему надо дать права на редактирование этих файлов тем или иным способом. Так что он может удалить/изменить и строку пользователя root. Или может создать нового пользователя с таким же uid=0 - это сделает пользователя ещё одним "админом".

(Пользователи могут храниться не только в /etc/passwd, но использование nss- и pam-модулей мы сейчас обсуждать не будем. Это сложно настраивать и поддерживать)

Answer 1

[Роман]

root на то и root
root в Linux по определению имеет неограниченные права на систему.
Вместо этого можно создать нового пользователя и редактируя sudo (/etc/sudoers) ограничить те вещи, к которым новый пользователь не должен иметь доступ.

newuser ALL=(ALL) /bin/systemctl restart *, /bin/systemctl start *, !/bin/systemctl stop *, !/bin/systemctl disable *, !/usr/sbin/useradd, !/usr/sbin/userdel, !/usr/sbin/usermod

В этом случае пользователь может запускать и перезапускать сервисы, но не может останавливать или отключать их.

Но, в любом случае нужно понимать, что давая кому то привилегии, вы перманентно даете ему доступ к системе.
Потому, что если скажем, он все же запустит sudo bash, он сможет обойти ограничения.

Есть другие решения, например использование SELinux или AppArmor. Или контейнеров или виртуализации, но лучше просто не повышать привилегии. Обычному пользователю root не нужен.

Answer 2

[SunTechnik]

По идеологии Linux - все есть файл.
Поэтому, если у меня появилась возможность запустить любой текстовый редактор с правами root (не важно через sudo или ещё как), я могу все перекроить в системе. Может потребоваться правка других файлов, но джина уже не остановить.

Можно через sudo дать повышенные привелегии на запуск конкретных команд, но если роль пользователя не формализована, а описана словами: админить, всего не предусмотреть. И очень быстро в список команд попадает текстовый редактор.

Включённый Selinux может усложнить жизнь злоумышленнику, но сначала попьет Вашей крови..

Comments

[rPman]

Один бит suid на исполняемом файле позволит повысить привилегии до root

Answer 3

[CityCat4]

Необходимо создать пользователя с root права, но с некоторыми ограничениями.

Задача не имеет решения. В общем случае. Для юзера с id 0 система безопасности пропускается. Если перечень того, что должен делать Ваш "рут" формализуется - формализуйте и опишите правилами sudoers.

Answer 4

[Александр]

Лучше не давать вообще права рут.

Answer 5

[Петровский]

Под Linux в силу архаичности и неразвитости системы прав у вас есть только 2 пользователя: root и не-root.

Есть костыли типа SELinux и AppArmor, но мало кто знает, как ими правильно пользоваться. Есть Astra Linux и их модуль Parsec, они реализовали "мандатный контроль доступа", но это дорого.

Answer 6

[Lx6g1ZG1]

У учетных записей есть срок действия.
Его можно назначать с помощью chage для разных пользователей.
посмотреть срок действия учетной записи пользователя:
chage -l
например установить срок действия пользователя до 12 февраля:
sudo chage -E 2025-02-12 user
обнулить срок действия учетной записи пользователя (разблокировать пользователя)
sudo chage -E -1 user
Вы можете устанавливать сроки действия у учетных записей
и продливать их по мере необходимости.
Учетным записям Вы можете выдавать root права
через sudo.
Или выдавать права через sudo только на нужные команды.
Для выполнения этих команд с root правами.