我正在尝试实现一个功能,需要限制当前对某些进程或文件具有 sudo 权限的用户的访问权限。我需要用户能够执行某些任务,例如启动 MongoDB 进程或重新启动 Docker 服务,但同时无法与系统上运行的任何系统进程或防病毒进程进行交互。
有没有办法可以以自定义方式限制 sudo 访问?
答案1
要将用户规范添加到 sudoers 文件:
visudo -f /etc/sudoers
要创建允许用户运行的命令白名单:CmndAlias ALL <list of commands>
要使用可插入身份验证模块 (PAM):su -c <command>
这些命令将有助于限制用户可以使用 sudo 权限运行哪些命令,为wheel组中的用户提供root访问权限,并创建允许用户运行的命令白名单。