我们有外部监测工具,它将通过SSH访问我们的Linux机器,并将读取top / ping / netstat / disk活动。 因为我创build分离的SSH密钥和分离用户为此,我想知道如果我可以限制这个用户以任何方式,或者它必须是pipe理员用户。
是否有任何用户可以运行的细粒度控制? 例如scp我们的数据库转储出来是坏的,读取最高统计数据或ping到另一台机器是好的…
一个好的做法是创build一个没有权限的用户,然后设置sudo。 监控帐户可以运行您需要的命令来检查状态,而不是别的。
在我的Nagios安装程序中,我有一个名为nagios的基本用户与sudoconfiguration相结合,看起来像这样。
### Nagios commands nagios ALL=NOPASSWD: /etc/nagios_checks/*, /usr/lib/nagios/plugins/*