在我的站点上,典型的 sudoers 设置已Defaults mail_always全局设置,因此我们可以跟踪用户通常使用 sudo 做什么(这种情况应该很少见)并解决常见操作的权限问题。此功能针对需要以 root 身份执行操作的角色帐户禁用。
为了进行审计并防止角色用户成为“派对账户”,我们已转向不鼓励以角色账户身份直接登录的政策。因此,我们有很多以普通用户身份登录,然后立即调用sudo -u <role account> -i。我真的很想!mail_always仅为-i操作设置(据我所知,没有办法在 sudo 中为 -i 设置特定规则)或用户 X 以用户 foo 身份运行命令。这可能吗?我觉得语法应该是这样的:
Defaults[:!>]realuser ALL = (roleuser) NOPASSWD: ALL !mail_always
更新:
我找到了一个可行的(尽管不是理想的)解决方案:
Defaults>ROLE_ACCOUNTS !mail_always
%wheel ALL = (ROLE_ACCOUNTS) NOPASSWD: ALL
这并不理想,因为任何用户(而不仅仅是 wheel 组的成员)在以角色账户之一运行命令或调用登录 shell 时都不会生成电子邮件通知。