我有一项任务,需要分离一组服务器上的用户职责,系统是 centos 7,我想授予某个用户服务器上的所有权限,但不包括更改 root 和其他用户密码的权限。将用户添加到组 wheel 并不合适,因为目标用户可以更改所有人的密码(包括 root)。我搜索了答案,但找不到与此特定需求相关的任何内容。
有人对此有想法吗?
提前致谢
答案1
您需要为用户提供他们可以运行的特定命令,并且要非常具体。您可以限制他们的访问权限,这样他们就不能直接运行“sudo password”,但这实际上并不强制执行。如果他们可以启动 root shell,他们就可以绕过这一点。您甚至可以以 root 身份运行 vi 并在其中运行命令。
过去,我通过为用户制作一个带有菜单的程序来给予他们很多访问权限,以便他们可以执行特定操作。这样我就可以检查他们提供的所有输入。
答案2
你不能限制和sudo强制“允许一切,除了...”时期。
如果您想阻止具有本地 sudo/root 权限的人更改用户密码,则不应将密码存储在该系统上,并且通常需要设置一个中央身份验证数据库,例如 LDAP 目录、Kerberos、IPA 服务器等。