Table of Contents
Limitar la posibilidad de acceder a root y cambiar de una cuenta de usuario a otra
Desactivar el usuario root mediante password
Opcion 1: Comando
sudo passwd -l root
Opcion 2: Editando el fichero /etc/passwd (Eliminar la X o bien poner otro carácter “!”):
root::0:0...
NOTA: Si hay un usuario con acceso a sudo, este podría realizar “sudo -s” y pasar al usuario root.
Desactivar el comando "SU" por medio de PAM
Opción 1: Evitar el uso de “su” incluso a root, fichero: /etc/pam.d/su
auth requisite pam_denny.so auth sufficient pam_rootok.so
su jasmin
su: Módulo desconocido
NOTA: Si root no puede utilizar el comando “su” pero sí “sudo”, podría arrancar aplicaciones con el ID de cualquier usuario usando “sudo -u comando”
Opcion 2: Evita el uso de “su”, solo root podrá ejecutarlo. Dichero: /etc/pam.d/su
auth sufficient pam_rootok.so auth requisite pam_denny.so
Limitar el uso del comando “su” solo al usuario root y grupos determinados.
auth sufficient pam_rootok.so auth required pam_wheel.so group=jasmin
Desactivar sudo
Eliminar del fichero /etc/sodoers los usuarios o grupos configurados. Si el fichero no tiene nada configurado realmente no tiene razón de ser, es como si no estuviera instalado.
Otras formas
- Jugando con los permisos de dichos ejecutables (su / sudo) con ACLs.
- Usando accesos limitados a los ejecutables del sistema (chroot / rbash).
- Modificar dichos ejecutables por scripts y controlar así su ejecución.
- EL comando runuser permite especificar cómodamente usuario / grupo para lanzar aplicaciones. Solo puede ser utilizado por el super usuario (root).