/etc/sudoers実行権限のセキュリティ強化

/etc/sudoers実行権限のセキュリティ強化

次のファイルに同様の行を追加しました/etc/sudoers.d/

%mygroupname ALL=(ALL) NOPASSWD: /sbin/mount, /sbin/umount

しかし、私はこれが改善できると信じています。たとえば、次のバージョンを考えています。

%mygroupname host9=(%wheel) NOPASSWD: /sbin/mount, /sbin/umount

リストされたコマンドは単なる例です。実際の使用では、これはカスタムスクリプトまたはシステムコマンドです。

私が正しく理解した場合、私の意図は、mygroupnameのメンバーが特定のホスト9システムでのみマウントとアンマウントを実行できるようにし、さらに実行が「ALL」で実行されるのを防ぐことです。これらの追加のステップでどのような利点が得られますか?特に、コマンドがすべて実行されないように runas リストを利用する方法に興味があります。

私の考えでは、runas制限が定義されていないか、ALLとして定義されている場合は、より制限されたrunas定義を使用するよりも潜在的なセキュリティホールが多いことです。この目的のために特定の権限を持つユーザーまたはグループを作成しようとしていますが、スクリプト内で実行される一部のコマンドにはsudo権限が必要です。この追加の努力で何かを得ることができますか?ベストプラクティスの提案を歓迎します。

私の具体的な質問は、一般ユーザーが実行できるこれらの特権コマンドのセキュリティを強化するためにrunasリストを正しく定義する方法です。

関連情報