Управление задачей 'корня' может быть разделено нескольким из “более мощных” пользователей?
попробуйте проверить [116504]https://stackoverflow.com/questions/6063618/bash-env-or-sourcing-a-file-in-a-non-interactive-non-login-shell
$ echo $JAVA_HOME
/etc/java-config-2/current-system-vm
$ ll /etc/java-config-2/current-system-vm
lrwxrwxrwx 1 root root 24 mai 16 2009 /etc/java-config-2/current-system-vm -> /usr/lib/jvm/sun-jdk-1.6
У Sudo есть способы дать пользователям доступ к некоторым, но не все, команды через sudo.
Вы можете использовать команду Visudo , чтобы безопасно редактировать файл / etc / sudoers, причем некоторую проверку синтаксиса до того, как файл действительно сохранен.
Внутри файла вы можете добавить строку, как
Mike All = (root) / usr / bin / aptitude, / usr / bin / apt-get
Чтобы дать Mike Access к Aptitude и APT-Ground через Sudo, но не какие-либо другие команды.
Обратите внимание, что это не очень безопасно. Программы обычно предполагают, что если они работают как root, тот, кто работает, имеет полный доступе к корню, поэтому у них нет особой защиты от эксплойтов. Хотя команда запущена, пользователь вошел в систему в качестве root, и иногда есть трюки для выполнения произвольных команд, пока все еще являются корнем. Вы не должны делать это для пользователей, которые вы не доверяете, но для вашего использования в использовании это выглядит нормально.
Детали, взятые отсюда: https://ubuntu-tutorials.com//ubuntu-tutorials.com/2007/03/01/Allying-limited-sudo-access-with-visudo/
Простой факт заключается в том, что если человек может произвольно устанавливать программы, то они, вероятно, могут установить программу, которая будет работать в соответствии с привилегиями root, поэтому они могут установить программы, которые предоставляют им другие виды доступа. Т.е. любое лицо, которое может установить или изменять то, что запускается как root, или может легко стать рутом.
Если вы хотите отделить свою аутентификацию, вы действительно должны смотреть на некоторую форму централизованной службы каталогов, которыми управляются только администраторы аутентификации. Так что не позволяйте никому создавать локальные пользователи и создать систему, которая удаляет / флаги любые созданные локальные пользователи. Тогда просто свяжите все системы в ваш центральный каталог.
В наши дни большинство этих задач, вероятно, следует косвенно обрабатываться с системой управления конфигурацией, когда это возможно. Затем вы можете реализовать некоторые проверки вашей системы управления конфигурацией, которые разрешают только определенные группы управлять определенными вещами. Возможно, вы можете просто иметь человека, который одобряет изменения в файлах управления конфигурацией, прежде чем они применяются к производственным системам. То, что этот человек будет проверить, что каждое изменение производится уполномоченным лицом.
Sudo будет инструмент выбора, и вы можете разделить доступ к группе.
Создайте 3 группы, которые вы хотите, поскольку администраторы добавляют нужные пользователи в каждой группе.
Установите псевдонимы вашей команды в / etc / sudoers
cmnd_alias appadm = / usr / bin / yum
Cmnd_alias Useadm = / usr / sbin / useradd
Cmnd_alias netadm = / usr / bin / service network *
, а затем группа доступ к группе
% Appadm All = (root) Appadm
% Useadm All = (root) Useadm
% NetAdm All = (root) netadm
Что-то вроде этого должно работать.
Вы должны иметь доступ к корневой учетной записи, чтобы предоставить дополнительные привилегии. Кроме того, вы можете использовать Sudo , чтобы ограничить эффект областей управления другими администраторами, не давая им корня. Но в целом, что вы описываете, кажется, больше политического / учебного вопроса, чем техническая проблема. Нанять правильного персонала, и они не будут вступать в путь друг друга, они помогут друг другу, когда это необходимо.