如何限制sudo
特定用户对/var
目录或其内容的访问?
答案1
sudo
允许普通用户以 root 身份运行命令。除非您提供非常具体的命令的明确列表,否则实际上不可能阻止具有sudo
访问权限的用户使用不离开服务器的内容执行他们喜欢的任何操作(并随后掩盖他们的踪迹)。
你的问题通常是由那些并不真正了解sudo
正在做什么的人引发的。
因此,实现您想要使用的功能的唯一方法sudo
是将配置限制为不接受任何参数的特定命令。
sudo
为用户提供 root 访问权限(对所有内容、命令子集或排除某些命令的所有内容)。
如果您不信任用户不会修改日志,则不要授予他们sudo
访问权限,因为sudo
访问权限只是 root 访问权限,除非您非常小心并仅提供实现单个特定目标的特定命令(通常是脚本)。