Sudoers 授予新用户仅允许“useradd 和 usermod”的权限

Question

您可以使用 sudo 执行此操作（正如您所怀疑的那样，编辑 sudoers 文件），但实际上不应该这样做。

我很确定useradd -o -u 0 whatever会很乐意为您添加一个新的根帐户。同样，usermod -o -u 0 whatever我们很乐意将现有帐户设为根帐户。usermod还可以更改帐户的 shell（更改系统管理员的 shell）。各种组也可能很有趣（例如，/usr/local/bin该staff组可写吗？）。肯定可以被像or 这样/var/spool/cron/*的组写入。组成员通常可以不受限制地原始访问底层存储设备（例如，）。daemoncrontabdisk/dev/sda

类似的东西find / -perm /020 -not -type l可以让你了解有多少不同的东西是可以组写的。

能够自由操纵用户就相当于root。因此，您不妨将用户添加到sudo组中并让他/她运行任何操作。

您可能想到了一些非常有限的用户操作。这可以是安全的，例如，允许通过 sudo 运行包装器脚本。或者将用户存储在替代存储（LDAP、MySQL/PostgreSQL/等数据库等）中，然后只允许在那里进行有限的编辑。

Answer 1

您可以使用 sudo 执行此操作（正如您所怀疑的那样，编辑 sudoers 文件），但实际上不应该这样做。

我很确定useradd -o -u 0 whatever会很乐意为您添加一个新的根帐户。同样，usermod -o -u 0 whatever我们很乐意将现有帐户设为根帐户。usermod还可以更改帐户的 shell（更改系统管理员的 shell）。各种组也可能很有趣（例如，/usr/local/bin该staff组可写吗？）。肯定可以被像or 这样/var/spool/cron/*的组写入。组成员通常可以不受限制地原始访问底层存储设备（例如，）。daemoncrontabdisk/dev/sda

类似的东西find / -perm /020 -not -type l可以让你了解有多少不同的东西是可以组写的。

能够自由操纵用户就相当于root。因此，您不妨将用户添加到sudo组中并让他/她运行任何操作。

您可能想到了一些非常有限的用户操作。这可以是安全的，例如，允许通过 sudo 运行包装器脚本。或者将用户存储在替代存储（LDAP、MySQL/PostgreSQL/等数据库等）中，然后只允许在那里进行有限的编辑。

Sudoers 授予新用户仅允许“useradd 和 usermod”的权限

答案1

相关内容