Действительно ли возможно вынудить элемент группы выполнить что-то позволенное sudoers как самостоятельно только?
Эти сообщения похожи на ядро, имел панику ядра. Это в основном отказывало. Существует мало, можно сделать, если система нестабильна / катастрофический отказ.
Обычно эти типы сообщений обнаружатся на консоли. Там можно использовать команду dmesg -n 1 отключить их от того, чтобы быть распечатанным, так как они могут получить немного раздражения, когда они мягки.
выборка от dmesg страница справочника
-n level
Set the level at which logging of messages is done to the
console. For example, -n 1 prevents all messages, except panic
messages, from appearing on the console. All levels of messages
are still written to /proc/kmsg, so syslogd(8) can still be used
to control exactly where kernel messages appear. When the -n option
is used, dmesg will not print or clear the kernel ring buffer.
Плохое значение EIP
Эта ошибка часто всегда означает, что у Вас есть некоторый тип отказа Ваших аппаратных средств, часто Ваша RAM. Я включил бы в список что-то как memtest86 +, чтобы проверить, что RAM функционирует правильно.
Вы хотите, чтобы члены группы могли только renice renice свои собственные процессы. Это поведение по умолчанию без записи sudoers. По умолчанию они могут renice renice своих собственных процессов в диапазоне 0 - 19.
Наличие доступа sudo к renice позволяет им увеличить этот диапазон с -20 до 19, а также к renice процессам, не принадлежащим им.
Выполняя man renice, я не вижу никаких опций, которые позволили бы вам делать то, что вы хотите. Если пользователи имеют доступ sudo к команде renice, то они могут добавить в нее опции, которые позволят им renice выполнять любой процесс.
Я думаю, что ваше решение заключается в удалении записи renice в файле sudoers. Тогда ваши пользователи могут только renice renice свои собственные процессы. Они потеряют возможность устанавливать свои хорошие значения в диапазоне между -20 и -1, но в данном случае требуется компромисс.
Используйте обертку вокруг renice , что-то вроде того:
#!/bin/sh
priority="$1"
pid="$2"
owner=`ps -h -o uid $pid`
if [ $owner != ${SUDO_UID} ]; then
echo "Only your own processes can be reniced" >&2
exit 1
fi
renice $priority $pid
Обратите внимание, что пример хрупкий и склонный к гоночным условиям из-за задержки между проверкой права собственности и сменой приоритета.