我们有一个用户支持组,希望允许他们通过 登录非 root 用户sudo。
%user-support ALL = (ALL) /bin/bash, !/bin/bash *root*
我们把上面的代码放进去/etc/sudoers.d,用户支持组就可以登录其他用户了。但是,他们也可以使用该命令登录 root sudo -u root -i。
有没有办法阻止用户支持组成为root?
允许除 root 之外的其他用户进行用户支持登录。
答案1
= (ALL)是指定用户列表的部分,配置的命令可以作为该用户列表运行。
例如:
# who # where # whoas #what
user1 ALL = (user2) : /bin/ls
%group1 alpha = (%group2) : /bin/cp
user1sudo -u user2 ls可以在具有此配置的所有主机上运行
组中的所有用户group1只能alpha以用户身份在主机上通过 sudo 运行 cpgroup2
User_Alias也可以使用unix-/ldap-groups 来定义“组”,而不是使用 unix-/ldap-groups 。