SELinux и недоадмин

ru_root — 11.05.2016 Всем привет!

У нас появился кейс, под который ( как мне кажется ) прекрасно подходит SELinux как таковой. К сожалению, раскурить его сразу я не смог, поэтому обращаюсь за помощью - куда смотреть, что читать и кому писать.

TL;DR;
Нужно как-то ограничить права админов на сервере, но не всех а только тех, у которых права даны через sudo.
Исходная OS - CentOS 7.


Вводная информация:
Существуют такие сервера, где в производственных целях необходимо давать права рута сторонним людям, будь то разработчики или кастомеры. В том числе такие сервера существуют в продакшн сетях, где одна ошибка будет стоить очень дорого. У нас есть политики, по которым данные админы не должны делать некоторые штуки, такие как: изменение настроек сети, изменение списка пользователей ( кроме сервисов ), изменение правил FW, изменение параметров ядра ну и тому подобное. К сожалению, технически ограничить их никак не получается, поэтому политики они регулярно нарушают, что приводит к разным последствиям.

Задача:
Ограничить администраторам, которые получают свои привелегии через sudo, права на:
- Изменение конфигурации сети
- Изменение пароля пользователя и его authorized_keys
- Изменение конфигурации фаервола
- Изменение некоторых файлов и папок
- Чтение некоторых файлов и папок
- Отключение SELinux ( ну разумеется ) и setenforce 0


Спасибо за внимание!

Оставить комментарий

Популярные посты:

• Ранее
• Архив