В настоящее время я собираюсь развернуть сторонний программный агент в инфраструктуре Linux-сервера моего клиента. Агент будет работать при запуске и завершении работы, и одним из предварительных условий для запуска агента является наличие записи файла sudoers в форме:
agent-user ALL=NOPASSWD: /opt/agent-executable
Группа безопасности клиента выразила обеспокоенность по этому поводу, в частности, по поводу возможности вызова sudo без пароля на серверах с выходом в Интернет. И спросили, можно ли ужесточить меры безопасности?
Я как бы застрял в требованиях к стороннему программному обеспечению (запись sudoers + NOPASSWD), но мне было интересно, какие еще варианты могут быть, чтобы сделать развертывание этого агента более безопасным?