是否可以创建一个具有只读 root 权限的用户,以便该用户可以看到整个文件系统,但无法更改任何内容?
这适用于审计和故障排除场景,我们希望授权某人进行调查,但不希望他们搞砸。
答案1
不建议授予用户对整个文件系统的权限。但是,我们可以使用 ACL 授予用户仅限于少数目录的权限。
喜欢,
setfacl -R -m u:readOnlyUser:r /var/log
-R
递归地授予权限-m
修改ACLu
用户修改(readOnlyUser)r
只授予读取权限
同样,我们可以给多个目录。
答案2
您到底想审核什么?您需要的大多数信息可能可以在系统或应用程序日志中找到。如果没有,请查看是否可以配置(或修改应用程序以记录相关活动)。 Unixy 系统作为服务器已经有很长一段时间了,如果你的要求以前没有引起别人的兴趣,那就很不寻常了。搜索/询问您的具体要求。对此类数据进行分段,以便能够根据需要了解的情况来限制访问,可能会有所回报。