Мы отправляем клиентам виртуальную машину, на которой работает веб-сервис. Клиентам необходимо установить эту виртуальную машину на одном из своих хостов с помощью гипервизора, и им просто нужно изменить конфигурацию сети для доступа к веб-службе.
Мы не хотим предоставлять клиентам полный root-доступ для изменения только конфигурации сети. Мы думали о добавлении нового пользователя с привилегиями sudo в папку / etc, но это может иметь другие последствия. Что лучше всего с этим справиться?
P.S .: На машинах, на которых установлены виртуальные машины, нет USB-доступа.
Вы также можете рассмотреть возможность использования для этого членства в группах. Создайте группу для этой цели
sudo groupadd netedit
Предоставьте обслуживающим пользователям вторичное членство в этой группе в / etc / groups с помощью инструмента по вашему выбору, а затем делегируйте права редактирования для файла (ов), который вы хотите:
sudo chgrp netedit /etc/sysconfig/network-scripts/ifcfg-eth0
sudo chmod g+w /etc/sysconfig/network-scripts/ifcfg-eth0
Вы можете быть очень ограничены с помощью sudo и привязать пользователя к определенному набору команд.
В конечном итоге это может быть проще, если вы на самом деле напишете сценарий, который собирает соответствующую информацию, изменяет / генерирует файлы в соответствии с требованиями пользователя и перезапускает сеть. Тогда у вас будет более простая настройка sudo
user (ALL)=(root) /path/to/setup-script
Убедитесь, что только root может редактировать сценарий. Дополнительным преимуществом этого является то, что вам не нужно учить людей, как использовать выбранный $ EDITOR, и ваши файлы могут быть сгенерированы согласованным образом.