我想限制 root 用户安装软件包
答案1
不。
root
是超级用户。根据定义,它可以做任何事情。无法对系统施加任何无法root
再次恢复权限的限制。
答案2
是的,如果你实施基于角色的访问控制 (RBAC):
基于角色的访问控制 (RBAC) 是一种围绕角色和权限定义的策略中立访问控制机制。RBAC 的组件(例如角色权限、用户角色和角色角色关系)使执行用户分配变得简单。NIST 的一项研究表明,RBAC 满足了商业和政府组织的许多需求。RBAC 可用于促进拥有数百个用户和数千个权限的大型组织的安全管理。尽管 RBAC 与 MAC 和 DAC 访问控制框架不同,但它可以毫无复杂地执行这些策略。许多产品和企业都在直接或间接地使用它,这足以证明它的受欢迎程度。
看如何在 Ubuntu Linux 上实现和修改基于角色的访问控制策略?
在 RBAC 下,并不存在通常所认为的真正的“root”用户。通常被认为是“root”的用户变成了一个角色,您不必授予该角色安装软件的权限。
然而,实施 RBAC 并非易事,最终您仍然需要至少几个拥有所有权限的系统管理员。某些人必须拥有所有权限才能配置 RBAC 角色。
根据我的经验,RBAC 仅对拥有大量系统管理员且需要做不同事情的大型组织才真正有用。
在美国,RBAC 可能还需要满足以下法律要求:健康保险隐私及责任法和萨班斯-奥克斯利法案。
在您的情况下,RBAC 几乎肯定不值得花费管理开销。
但绝对可以阻止“root”安装软件。