Intereting Posts
Настройка почтового сервера для простоты отправки сообщений электронной почты Беспроводная мышь часто замерзает на секунду на ноутбуке, когда на батарее qemu + windows 10 странное поведение Модуль ядра для клиента Cisco VPN не компилируется под ubuntu 10.04 LTS? Как использовать SED или AWK для замены заполнителей в файле шаблона с содержимым переменной, содержащим специальные символы? Агент диспетчера почты: не удалось получить доступ к папке исходящих сообщений (ошибка Unknow. (Не удалось получить сбор ресурсов).) Какая конфигурация определяет рабочую среду? Как запретить изменение времени изменения файла для пользователей без root Мне нужно dhclient, чтобы очистить IP-адрес / маршруты, когда ссылка идет вниз Как просмотреть (только) сообщение, а не источник сообщения, во внешней команде с (neo) Mutt Как переименовать все файлы в каталоге в определенный формат? Мне действительно нужно использовать nohup? Контент Yum конфликтует из-за моей ошибки. Как мне исправить? iw не удается настроить интерфейс Установите переменные окружения с помощью plink.exe

Как ограничить административные привилегии различными файлами конфигурации?

Я хочу, чтобы один администратор мог редактировать файл / etc / fstab, но один администратор не мог редактировать файл fstab.

Оба администратора нуждаются в доступе ко всем другим административным задачам.

Это возможно?

Я предполагаю, что мне нужно каким-то образом настроить, какие файлы «sudo» предоставляет им доступ. Или возможно просто сделать учетные записи без административного управления, а затем создать группу с именем fstab-access и добавить к ней одного из пользователей и установить привилегии для этой группы …? Я на правильном пути?

Если вы только хотите разрешить пользователю редактировать /etc/fstab , вы можете сделать это несколькими способами:

  • Убедитесь, что списки управления доступом включены (опция acl в записи /etc/fstab для / ) и setfacl -m user:joe:rw /etc/fstab .
  • Добавьте правило sudoers : запустите visudo и добавьте строку joe ALL = sudoedit /etc/fstab

Я рекомендую метод sudo, потому что он позволяет легко проверять, кто может что-то делать.

Однако, если вы разрешаете пользователю редактировать /etc/fstab , они могут косвенно получать root, добавляя запись, которая позволяет им монтировать внешнюю или циклическую файловую систему, на которой они насадили двоичный файл setuid.

Довольно странно позволять пользователю редактировать fstab только. Если вы хотите разрешить пользователям монтировать съемные устройства, используйте pmount (или полагайтесь на среду рабочего стола).

Если вы разрешаете пользователю выполнять команды, отличные от белого, как root («все другие административные задачи»), вы не можете запретить им редактировать какой-либо конкретный файл. В какой-то момент вам нужно решить, доверяете ли вы этим людям или нет. Если вы не доверяете им администрировать свой компьютер, не предоставляйте им привилегии (вместо этого используйте другую машину, возможно, виртуальную машину). Если вы доверяете им, позвольте им стать root и сообщите им, что определенные файлы являются запрещенными.

Если вы дадите им доступ ко всему, то, очевидно, все ставки отключены. Однако вы можете разрешить пользователю редактировать конкретный файл и ничего другого. Например:

 user ALL = sudoedit /etc/fstab 

Позволит пользователю редактировать / etc / fstab.

Если вы попытаетесь перечислить каждую отдельную утилиту, которую может понадобиться администратору, вы будете сидеть на клавиатуре некоторое время.

Технически такое желание – это то, почему Linux были разработаны. Чтобы сделать то, что вы хотите: вы можете предоставить пользователям особые возможности, а затем просто дать пользователю доступ для записи в fstab (через ACL или что-то еще) и просто не дать такую ​​же привилегию записи ограниченному пользователю2 (убедитесь, что user2 не имеет CAP_CHOWN или CAP_DAC_OVERRIDE), но учитывая текущее состояние возможностей (с точки зрения того, насколько хорошо развито пользовательское пространство), это, вероятно, больше работы, чем того стоит.

Без использования возможностей для передачи ответственности в сценарий «root as user role» у вас просто есть разные перестановки в использовании корневой учетной записи. Это подводит нас к вышеупомянутой проблеме, рассказывающей системе о каждом возможном инструменте, который нужен другому пользователю (надеюсь, тот, который не может быть косвенно использован для управления fstab ).

Вероятно, вам лучше решить, можете ли вы доверять определенному пользователю быть администратором или нет.