Разрешения Sudoers для нового пользователя, которые разрешают только "useradd и usermod"
$ foo='Tes$123'
$ echo ${foo/$/\\$}
Tes\$123
Мы заменяем здесь $на \$, но поскольку \является особым, мы должны избежать его собственным \.
Конструкция ${haystack/pin/needle}заменит первое вхождение 'pin' на 'needle' в переменной haystack. Чтобы заменить все вхождения 'pin', вы можете использовать ${haystack//pin/needle}.
Вы можете сделать это с помощью sudo (, отредактировав файл sudoers, как вы подозревали ), но на самом деле этого делать не следует.
Я почти уверен, что useradd -o -u 0 whateverс радостью добавит вам новую учетную запись root. Точно так же usermod -o -u 0 whateverс радостью превратит существующую учетную запись в учетную запись root. usermodтакже можно изменить оболочку учетной записи (изменить оболочку системного администратора ). Различные группы тоже могут быть интересны (, например, может ли /usr/local/binзаписываться группой staff? ). /var/spool/cron/*наверняка доступны для записи такими группами, как daemonили crontab. Члены группы diskчасто имеют неограниченный необработанный доступ к базовым устройствам хранения (, например,/dev/sda).
Что-то вроде find / -perm /020 -not -type lможет дать вам представление о том, сколько различных вещей доступно для групповой -записи.
Возможность свободно манипулировать пользователями эквивалентна root -. Таким образом, вы можете просто добавить пользователя в группу sudoи позволить ему/ей запускать что угодно.
Вероятно, вы имеете в виду некоторые очень ограниченные манипуляции с пользователями. Это можно сделать безопасным, например, разрешив запуск скриптов-оболочек через sudo. Или путем хранения пользователей в альтернативном хранилище (LDAP, MySQL/PostgreSQL/и т. д. база данных и т. д. ), а затем разрешить только ограниченное редактирование.