我一直在将与此类似的行添加到以下文件中/etc/sudoers.d/:
%mygroupname ALL=(ALL) NOPASSWD: /sbin/mount, /sbin/umount
不过,我相信这是可以改进的。例如,我正在考虑这个版本:
%mygroupname host9=(%wheel) NOPASSWD: /sbin/mount, /sbin/umount
列出的命令只是示例。在实际使用中,这些可能是自定义脚本或系统命令。
如果我理解正确的话,我的意图是允许 mygroupname 的成员仅在特定的 host9 机器上执行挂载和卸载,并进一步防止执行作为“ALL”运行。我能从这些额外的步骤中获得什么好处吗?我对如何利用 runas 列表特别感兴趣,以便命令不能全部运行。
我的想法是,如果未定义 runas 限制或将其定义为 ALL,那么与使用更有限的 runas 定义相比,会带来更多潜在的安全漏洞。我正在考虑为此目的创建具有特定权限的用户或组,但在脚本中运行的某些命令需要 sudo 权限。我能从这种额外的努力中得到什么吗?任何有关最佳实践的建议都值得赞赏。
我的具体问题是如何正确定义 runas 列表以加强普通用户可以运行的这些特权命令的安全性。