/etc/sudoers 中通配符的安全替代方案是什么?

/etc/sudoers 中通配符的安全替代方案是什么?

/etc/sudoers我的 Red Hat 服务器上的文件中,有以下行:

%webdevgroup ALL=NOPASSWD: /bin/chmod * /home/http/*

这显然是一个坏主意,因为有人可能会做这样的事情:

sudo /bin/chmod 777 /home/http/../../etc/sudoers

有没有更安全的方法来实现此功能而不使服务器暴露于此安全漏洞?

答案1

如果我正确理解了你的问题,你想授予目录 /home/http/* 上的 webdevgroup 权限

ACL 是一个不错的选择,但您也可以看看 setgid :setgid 目录的用途是什么?

相关内容