长史短谈: - 我们有一堆 Linux 服务器。
许多用户使用 Linux 桌面。他们将其用作测试服务器。
所有基础设施都具有通过 Quest Auth Services 链接到 AD 的身份验证服务。这为我们提供了登录脚本、启动脚本和其他内容的选项。
Quest 为我们提供了一个有趣的选项,那就是 SUDO 管理。我们可以通过 GPO 策略编辑 sudoers 文件。
现在我们正在部署具有 cifs 和 NFS 映射功能的日立 NAS 服务器。
服务器由 IT 部门管理,因此除了我们之外没有人可以访问根目录。
桌面用户还将安装 NFS 共享,以便他们能够处理真实数据并从服务器读取自己的数据。
桌面用户可以执行 sudo su。
如果桌面用户从根用户转换为另一个用户,则 NFS 允许他们以其他用户的身份进行工作。
我想阻止他们切换用户,但仅限于 AD 用户之间,他们必须能够切换到 apache 用户或 postgres 用户。
我是不是遗漏了什么或者这会很棘手?
有人能帮我思考一下吗?
非常感谢。
答案1
我不完全确定我这里遇到了确切的问题,但让我试一试。将 /etc/sudoers 文件更改为:-
%user ALL=(apache,postgres) ALL
因此,组 user 中的任何成员都可以以 apache 或 postgres 用户身份运行任何内容。因此命令
sudo -u apache -i
会将用户组中的人员更改为 apache 用户。但是他们无法更改为 active directory 域中的每个人。
答案2
Decado 提出了一个很好的方法。
但是用户将能够以 root 身份登录,在 grub 上进入 /bin/sh 并执行任何他们想做的事情。所以... 在 sudoers 上切断它们是没有意义的,唯一的方法是通过 cifs 进入文件共享。我们将这样做。
谢谢。