在Linux上,我们根据ADvalidation用户。 AD用户不在/ etc / passwd中列出。
我们即将部署NFS解决scheme为每个用户组安装一些额外的空间。
如果具有sudo su权限的用户(A)进入root用户,则可以通过su用户(B)模拟用户(B)并转到NFS。
如果用户没有在/ etc / passwd中列出,是否有任何方法禁止root用户访问su用户?
我想你应该重新考虑你的问题。 我不知道有什么办法来实现你想要的,但是…如果你有一个你不完全信任的sudo ALL权限的用户,那么你应该限制这个权限。
如果你打算赋予用户一个root权限,那么你就不能限制他们做任何事情(无论你放置什么块,root总是可以绕过它们,除了less数例外)。 您应该将用户A添加到sudoers并严格configuration他们可以或不能运行的程序。
不回答你的直接问题,但我认为你的问题是NFS,而不是sudo / su – 你会在任何时候使用NFSv3这个问题,因为它依赖于UID强制访问权限。
即使您以某种方式阻止了用户切换到root并返回到另一个UID,恶意用户也可以简单地连接他们自己的设备,或者在专门configuration的系统上启动不同的操作系统,并克服这种保护。
你有没有考虑使用NFSv4? 它使用Kerberos来validation安装请求并强制访问权限,所以不会受到这种情况的影响。