我们的实验室中有一台 Ubuntu 14.04 机器,我的计划是限制具有权限的/etc用户更改目录中的任何内容sudo,以便只有 root 用户可以编辑配置文件。
是否有任何软件可以应用这种类型的策略,就像 Windows 服务器中那样?
答案1
没有,没有软件可以做到这一点。如果有“sudo”,用户将能够恢复该软件对无法更改任何内容的用户所做的更改 /etc。
如果您不信任您的用户,请不要让他们成为“sudo”用户,并为他们创建普通用户。
好的,我的计划是用户可以终止进程,重新启动所有服务,挂载,更改权限和所有者,ifdown/up,vagrant 等。
但这与无法更改无关/etc:您可以让普通用户拥有更高的权限,这样他/她就可以使用需要“sudo”的特定命令,而无需成为该机器的管理员。例如: 向用户授予有限的 Sudo 权限这样设置意味着他们无法更改任何内容,/etc除非您创建他们可以更改的命令。但如果您认为让用户能够执行除更改文件之外的任何操作是一个好主意,那么/etc它将是一个非常长的列表。
但要小心:很容易添加冲突的命令。请参阅来自的评论盐湖例如。
答案2
或者您可以尝试 chattr +Rais /etc,但它也会拒绝任何人对 /etc 文件夹的任何更改,并且必须指示在系统上更新/配置内容的任何人先 chattr -Rais 该文件夹。然而,这并不是真正的解决方案,如果知道如何,人们可以恢复更改。如果您不信任用户,我建议安装“rootsh” - 这是一个记录用户所做的一切(包括其输出)的应用程序。