我们有一个名为 JBossAdmins 的组,该组的用户必须在 RHEL 6 上编辑一些 /etc 文件:
我的第一个想法是授予以下 sudo 权限:
%JBossAdmins ALL=(root) /bin/vi /etc/httpd/*
%JBossAdmins ALL=(root) /bin/vi /etc/java/*
%JBossAdmins ALL=(root) /bin/vi /etc/jboss/*
显然,用户现在可以以 root 身份启动 vi,然后通过执行 fe 来编辑任何文件 :e /etc/passwd
所以 sudo 不是一个好主意。
然后我想到做一个chgrp JBossAdmins -R path然后一个chmod g+rw -R path。
但我也不太确定这是否是个好主意。
因此,考虑到安全隐患,允许一组用户编辑某些 /etc 文件的最佳做法是什么?有比 sudo 或 chgrp/chmod 更好的选择吗?
让别人sudo进来vi总是一个坏主意。他们可以通过发出:shell命令使用 root-shell 退出 vi 。你不想那样。
您的另一种选择可能是sudoedit. 然后,您可以sudoedit在sudoers-file 中授予您的用户/组权限:
%JBossAdmins <hostname>: sudoedit /etc/httpd/*
%JBossAdmins <hostname>: sudoedit /etc/java/*
%JBossAdmins <hostname>: sudoedit /etc/jboss/*