На моем сайте типичная установка sudoers Defaults mail_always установлен глобально, чтобы мы могли отслеживать, для чего пользователи обычно используют sudo (что должно быть очень редко), и разбираться с исправлением разрешений для общих действий. Это отключено для каждой ролевой учетной записи, которая должна выполнять действия как root.
Мы перешли к политике предотвращения прямого входа в систему в качестве ролевых учетных записей в целях аудита и предотвращения превращения ролевых пользователей в «групповые учетные записи». Таким образом, у нас много логинов в качестве обычного пользователя, чем сразу вызываем sudo -u <role account> -i. Я бы очень хотел установить !mail_always только для -i action (что AFAIK, нет способа установить определенные правила для -i в sudo) или пользователь X, выполняющий команду как пользователь foo. Это возможно? Мне кажется, синтаксис должен быть примерно таким:
Defaults[:!>]realuser ALL = (roleuser) NOPASSWD: ALL !mail_always
ОБНОВИТЬ:
Я нашел приемлемое, если не идеальное решение:
Defaults>ROLE_ACCOUNTS !mail_always
%wheel ALL = (ROLE_ACCOUNTS) NOPASSWD: ALL
Это не идеально, поскольку любой пользователь, а не только члены группы wheel, не будут генерировать уведомления по электронной почте при выполнении команд или вызове оболочки входа в качестве одной из ролевых учетных записей.