有没有办法可以授予用户或组添加/编辑其他用户的权限,而无法更改系统上的其他任何内容?这个想法是让帮助台代理能够向其他人授予访问权限,但不能执行任何其他系统维护任务。
答案1
/etc/passwd不,使用通过和/etc/shadow文件以及提供的 Unix 权限模型是不可能实现这一点的sudo。
我过去见过的一种方法是提供一个可以通过 执行的前端 Web 应用程序和/或程序或 shell 脚本sudo,但仅此而已。这将为他们提供一个 API,通过“应用程序”执行一组非常狭窄的任务,而无需通过&命令赋予他们实际功能sudo或一般访问权限。useraddusermod