🐧 Delayed Admin – как временно отключить админские права у администраторов — Information Security Squad
🐧  Delayed Admin – как временно отключить админские права у администраторов

Сегодня я наткнулся на интересную утилиту под названием «Delayed Admin».

Как следует из названия, эта утилита временно отключит права администратора.

Delayed Admin не удалит административные привилегии учетной записи администратора полностью, а отложит их на определенное время.

Другими словами, пользователи по-прежнему будут иметь доступ админа, но не смогут использовать его по своему усмотрению.

Им нужно будет подождать некоторое время, чтобы выполнить любую команду, требующую привилегий «sudo» или «su».

Обратите внимание, что они по-прежнему могут запускать любые команды, которые может запускать обычный пользователь.

🐧 Root-пользователь в Ubuntu: важные вещи, которые вы должны знать

Зачем кому-то это нужно спросите вы?

Самоконтроль! Позвольте мне объяснить.

Вы когда-нибудь использовали какие-либо приложения и / или дополнения для самоконтроля, которые ограничивают вас от посещения определенных веб-сайтов в течение определенного времени?

Эти приложения будут блокировать некоторые веб-сайты на определенный период времени, чтобы повысить нашу производительность.

Таким образом, мы можем сосредоточиться на нашей работе без каких-либо отвлекающих факторов или желания посещать захватывающие сайты.

Однако, если вы являетесь администратором, вы можете в любое время удалить или отключить эти приложения и посещать сайты в любое время, не так ли?

В таких случаях нам нужно что-то мощное, что не позволит нам выполнять какие-либо административные задачи, даже если мы являемся администраторами.

Это принцип, на котором основан Delayed Admin.

Так что, если вам когда-либо захочется отключить привилегии администратора для учетной записи, Delayed Admin определенно поможет.

ВНИМАНИЕ — это не для НУБОВ!
Перед тем, как попробовать утилиту Delayed Admin в вашей системе Linux, запомните следующие важные моменты.
  • После настройки Delayed Admin вы не сможете выполнять какие-либо административные задачи, используя привилегии «sudo» или «su». Итак, рекомендуется настроить две административные учетные записи. На случай, если вы заблокированы в своей системе, вы все равно можете использовать другую учетную запись администратора, чтобы получить административный доступ.
  • Задержка заставит вас подождать по умолчанию 30 секунд, прежде чем система запустит какие-либо административные задачи с привилегией sudo. Некоторые из вас могут найти это раздражающим. Если вы нетерпеливый пользователь, не устанавливайте его.

Установка Delayed Admin

Установите Git, если он еще не установлен.

Git доступен в репозиториях по умолчанию, поэтому мы можем установить его с помощью менеджера пакетов.

Например, чтобы установить git в любой системе на основе Debian, запустите:

$ sudo apt-get install git
Клонируйте репозиторий:
$ git clone https://github.com/miheerdew/delayed-admin.git
Система создаст каталог с именем «delayed-admin» в текущем каталоге и загрузит все содержимое.
Перейдите в каталог:
$ cd delayed-admin/

Затем установите Delayed Admin с помощью команды:

$ sudo ./setup.sh install
Пример вывода:
[✔] Created group delayed-admin
[✔] Copied /usr/local/bin/delayed and /etc/delayed-admin.conf
%delayed-admin ALL = /usr/local/bin/delayed
[✔] Copied above to sudoers file /etc/sudoers.d/delayed-admin
[✔] Install successful
После установки добавьте текущего пользователя в группу delayed-admin:
$ sudo usermod -a -G delayed-admin "$USER"

Наконец, удалите текущего пользователя из группы sudo:

$ sudo gpasswd -d "$USER" sudo
Выйдите из системы и войдите обратно или перезагрузите систему, чтобы изменения вступили в силу.

Как временно сбросить права администратора с помощью Delayed Admin

Обратите внимание, что отныне вы не можете использовать «sudo».

Вместо этого вам придется использовать «sudo delayed» при выполнении административной задачи.

Давайте запустим команду с привилегиями «sudo» и посмотрим, что произойдет.

$ sudo apt-get update

Пример вывода с моего рабочего стола Ubuntu 16.04:

Sorry, user ostechnix is not allowed to execute '/usr/bin/apt-get update' as root on ostechnix.

Видите?

Даже если я введу правильный пароль администратора, я не смогу выполнять какие-либо задачи администратора с sudo.

Теперь позвольте мне выполнить тоже самое  но с «sudo delayed»:

$ sudo delayed apt-get update

Пример вывода:

Sleeping for 30 seconds staring from 01/15/18 15:13:45
[...]
Заметили?
Утилита поместила данную команду в спящий режим на 30 секунд.
Это означает, что ваши привилегии администратора будут по умолчанию отброшены на 30 секунд.
Поэтому данная команда будет выполнена только через 30 секунд.
С этого момента вам придется ждать 30 секунд, чтобы выполнить любые команды с привилегиями sudo.
Конечно, вы можете изменить временной интервал по умолчанию в файле /etc/delayed-admin.conf.
Для этого отредактируйте этот файл:
$ sudo delayed nano /etc/delayed-admin.conf
Затем измените интервал по вашему желанию.
Помните, что вы должны запускать все административные задачи с префиксом «sudo delayed».

Удалить Delayed Admin

Ожидание 30 секунд для запуска административных задач может быть раздражающим или ненужным.

Если это так, просто удалите программу, как описано ниже.

Сначала добавьте своего пользователя обратно в группу «sudo».

Я повторяю — вы должны добавить пользователя в группу «sudo» перед удалением этой утилиты.

В противном случае вы навсегда потеряете доступ к sudo.

Другим вариантом является наличие двух учетных записей администратора.

Чтобы добавить текущего пользователя обратно в группу «sudo», выполните:

$ sudo delayed usermod -a -G sudo "$USER"
$ sudo delayed gpasswd -d "$USER" delayed-admin

Выйдите из системы и снова войдите в систему или перезагрузите систему, чтобы запускать команды с привилегиями sudo.

Перейдите в каталог, в который вы клонировали содержимое Delayed Admin, и удалите утилиту delayed-admin с помощью команды:

$ cd delayed-admin/
$ sudo ./setup.sh uninstall

Пример вывода:

[✔] Deleted /usr/local/bin/delayed /etc/delayed-admin.conf
[✔] Deleted sudoers file: /etc/sudoers.d/delayed-admin
[✔] Deleted group delayed-admin
[✔] Uninstall successful

Наконец, удалите директорию «delayed admin»:

$ cd ..
$ rm -r delayed-admin/

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *