我想限制rm特定组的命令。我已经在 Linux 服务器上实现了 sudo。sudo rm <filename>不允许,因为我已对其进行了限制。
问题是,如果用户不使用,sudo他可以删除文件。我的用户属于某个组,例如测试组。因此,我需要限制/bin/rm测试组中的所有用户。
setfacl没有帮助!
非常感谢您的任何建议。
答案1
我会回复这个问题,因为我认为我知道如何实现接近您的要求的事情。
顺便说一句,我非常同意评论中的观点:这根本就不是你想要实现的解决方案。
文件系统权限调整是方法。
鉴于“特权”是能够运行受限二进制文件的组,“youradminusername”是您正在使用的管理员用户。
对任何其他本地管理员用户重复第二条命令。
sudo groupadd privileged
sudo usermod -a -G privileged youradminusername
sudo dpkg-statoverride --update --add root privileged 4750 /bin/rm
这样,只有添加到特权组的用户才能够访问 rm。
顺便说一句,再说一次,甚至不需要上传我自己的 rm,我可以迅速列出数十个可以在 bash 中用来销毁文件的二进制文件。而是配置文件系统的权限。