第七,su主的权利限制

我有一个任务分开在一组服务器上的用户职责,系统是centos 7有一个用户,我想给服务器上的权利,除了权限,改变根和其他用户的密码。 将用户添加到组轮并不能使其正确,因为预期的用户将能够改变每个人的密码(包括根)。 我search了一个答案,但没有find任何有关这个特定的需求。

任何人有这个想法?

提前致谢

你需要给用户特定的命令,他们可以运行并且非常具体。 你可以限制访问,所以他们不能直接运行“sudo密码”,但是并没有真正执行。 如果他们可以启动一个root shell,他们可以绕过这个。 你甚至可以以root身份运行vi并运行其中的命令。

在过去,我给了用户很多的访问权限,让他们通过一个菜单程序来完成特定的操作。 这允许我检查他们给的所有input。

你不能限制和强制sudo “允许除…之外的所有内容”期间。


如果您想阻止某个具有本地sudo / root权限的用户更改用户密码,则不应将其存储在该系统中,您通常会设置一个中央身份validation数据库,如LDAP目录,Kerberos,IPA服务器等。