我有一台 linux 机器(kubuntu 13.04)
我的一个朋友让我给他一个能够使用sudo
.因此,我为他创建了一个帐户,并将该帐户放入/etc/group
供他使用,sudo
我不在乎他安装或管理任何程序,但不希望他访问我的主文件夹/home/myaccount
及其子文件夹。我怎样才能做到这一点?
答案1
也许,你不能。如果他拥有“完整的 root 权限”(以及所需的知识),他将可以规避您对他施加的任何限制。
尝试扭转你的做法:他需要满的root权限?为什么?真的吗?仅授予他sudo
所需的最少命令集的权限。例如,要通过包管理安装应用程序,他只需要以root身份运行rpm
(或yum
或apt-get
),而不需要任何程序。
正如 @Evan-Teitelman 所说,即使这样也可能很危险。在sudoers
文件中,您甚至可以定义用户可以使用哪些命令参数,因此您可以让他仅使用包管理器的高级命令行界面(如apt-get
或zipper
),并让他仅从官方存储库安装软件。
PS 无论如何,如果他使用 live-cd 重新启动机器,他就可以读取任何内容,除非您加密主文件系统。