在我的站点,典型的sudoers安装程序具有Defaults mail_always全局设置,所以我们可以跟踪用户通常使用sudo(这应该是非常罕见的),并且修复固定常见操作的权限。 这是每个angular色帐户,需要执行的东西作为根被禁用。
我们已经转而采取一种政策,不鼓励直接login作为审计目的的angular色帐户,并防止angular色用户成为“聚会帐户”。 因此,我们有许多作为常规用户的login,而不是立即调用sudo -u <role account> -i 。 我真的想设置!mail_always只是为了-i动作(AFAIK,没有办法在sudo中为-i设置特定的规则)或者用户X运行一个命令,就像用户foo一样。 这可能吗? 我觉得语法应该是这样的:
Defaults[:!>]realuser ALL = (roleuser) NOPASSWD: ALL !mail_always
更新:
我发现了一个宜居的,如果不是理想的解决scheme:
Defaults>ROLE_ACCOUNTS !mail_always %wheel ALL = (ROLE_ACCOUNTS) NOPASSWD: ALL
这不是理想的,因为任何用户,不仅仅是轮组的成员,当运行命令或者将loginshell作为angular色帐户之一时,不会生成电子邮件通知。