У меня есть задача разделить обязанности пользователей на группе серверов, система - это centos 7, есть пользователь, которому я хочу предоставить все права на сервере, кроме права изменять пароли root и других пользователей. добавление пользователя в групповое колесо не делает его правильным, потому что предполагаемый пользователь сможет изменить пароли всех (включая root). Я искал ответ, но не нашел ничего, относящегося к этому конкретному запросу.
кто-нибудь имеет представление об этом ??
заранее спасибо
Вы не можете ограничивать и принуждать sudo
к "разрешить все, кроме ..." период.
Если вы хотите запретить кому-либо с локальными правами sudo / root изменять пароли пользователей, они не должны храниться в этой системе, и вы обычно настраиваете центральную базу данных аутентификации, такую как каталог LDAP, Kerberos, IPA-сервер и т. Д.
Вам нужно дать пользователю определенные команды, которые они могут выполнять, и быть очень конкретными. Вы можете ограничить доступ, чтобы они не могли запускать sudo password напрямую, но на самом деле это не обеспечивает его соблюдение. Если они могут запустить корневую оболочку, они могут обойти это. Вы даже можете запускать vi от имени пользователя root и запускать в нем команды.
Раньше я давал пользователям большой доступ, создавая им программу с меню, чтобы они могли выполнять определенные действия. Это позволило мне проверить все введенные данные.