В centos6.8 даже для фонового рисунка рабочего стола по умолчанию нужен пароль root, затем я использую функцию sudo в ноутбуках моей компании 500.
james01 ALL=(ALL) NOPASSWD: sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool,/bin/rpm, /usr/bin/up2date, /usr/bin/yum
1. Как не допустить, чтобы пользователь редактировал / sbin / iptables? sudoers не имеет синтаксиса как !/sbin/iptables
2.Как настроить 500 ноутбуков с другим именем пользователя, например robin01, marry01?
3. Есть ли файл sudoers в качестве классического примера для управления правами пользователя?
Ты можешь использовать '!' отрицать команды, пользователей и т. д. Однако вы должны быть осторожны. Это предупреждение есть на странице руководства для sudoers;
Ограничения оператора «!» Как правило, неэффективно «вычитать» команды из ВСЕХ с помощью оператора «!». Пользователь может легко обойти это, скопировав нужную команду под другое имя и затем выполнив ее. Например: bill ALL = ALL,! SU,! SHELLS На самом деле не мешает Биллу запускать команды, перечисленные в SU или SHELLS, поскольку он может просто скопировать эти команды на другое имя или использовать экранирование оболочки из редактора или другого программа. Таким образом, подобные ограничения следует рассматривать в лучшем случае как рекомендательные (и подкрепленные политикой). В общем, если у пользователя есть sudo ALL, ничто не мешает ему создать свою собственную программу, которая предоставляет ему корневую оболочку (или создает свою собственную копию оболочки) независимо от каких-либо элементов «!» В пользовательской спецификации.
Ваш пример iptables хорошо это иллюстрирует. Если вы не дадите ВСЕ, то вам нужно будет явно предоставить разрешения для команды или набора команд, которые позволят им редактировать iptables. Вам не нужно отрицать никакие команды если вы не используете ВСЕ. В противном случае предотвратить это будет крайне сложно.
Вместо того, чтобы устанавливать политику для 500 пользователей, почему бы не применить ее к группам? Если все находятся в общей группе, вы можете использовать "%" для обозначения группы. Посмотрите на пример в / etc / sudoers для группы wheel.
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
Если вам нужно установить это на 500 разных ноутбуках. Вы можете использовать некоторые инструменты автоматизации. Я предлагаю вам "Ansible". Это бесклиентный инструмент, для этого вам просто нужны учетные данные ssh. Попробуйте, он действительно разберется в вашей работе.
Если хочешь, я могу написать для тебя сценарий. Если интересно, пингуйте. Рад помочь вам.