我正在寻找授予组查看 /var/log 中任何文件的权限的最佳方法,但仅使用 cat 或 tail。我现在最好的猜测是我需要使用 ACL:
setfacl -mR default:g:group:4 /var/log
不知道如何限制他们只能使用猫或尾巴。感谢您的任何建议。
答案1
我认为我不会破坏权限,而是/var/log向这些用户授予sudo有限命令集的权限。
设置 sudo 访问
您可以在文件中创建命令别名,/etc/sudoers如下所示:
Cmnd_Alias RDONLY_VARLOG = tail /var/log/messages, tail /var/log/maillog, ...
然后再次在文件中授予用户对此命令别名的访问权限/etc/sudoers。
# single user
user1 ALL = RDONLY_VARLOG
# group of users (group1)
%group1 ALL = RDONLY_VARLOG