Sudoers 授予新用户仅允许“useradd 和 usermod”的权限

Sudoers 授予新用户仅允许“useradd 和 usermod”的权限

我想创建一个新用户,并且希望该用户只能运行“useradd”和“usermod”

我需要配置 sudoers 文件吗?

不知道该怎么做。

答案1

您可以使用 sudo 执行此操作(正如您所怀疑的那样,编辑 sudoers 文件),但实际上不应该这样做。

我很确定useradd -o -u 0 whatever会很乐意为您添加一个新的根帐户。同样,usermod -o -u 0 whatever我们很乐意将现有帐户设为根帐户。usermod还可以更改帐户的 shell(更改系统管理员的 shell)。各种组也可能很有趣(例如,/usr/local/binstaff组可写吗?)。肯定可以被像or 这样/var/spool/cron/*的组写入。组成员通常可以不受限制地原始访问底层存储设备(例如,)。daemoncrontabdisk/dev/sda

类似的东西find / -perm /020 -not -type l可以让你了解有多少不同的东西是可以组写的。

能够自由操纵用户就相当于root。因此,您不妨将用户添加到sudo组中并让他/她运行任何操作。

您可能想到了一些非常有限的用户操作。这可以是安全的,例如,允许通过 sudo 运行包装器脚本。或者将用户存储在替代存储(LDAP、MySQL/PostgreSQL/等数据库等)中,然后只允许在那里进行有限的编辑。

相关内容