Sudoers は、「useradd と usermod」のみを許可する新しいユーザー権限を付与します。

Sudoers は、「useradd と usermod」のみを許可する新しいユーザー権限を付与します。

新しいユーザーを作成し、そのユーザーが「useradd」と「usermod」のみを実行できるようにしたいと思います。

sudoersファイルを設定する必要がありますか?

何をすべきかわかりません。

答え1

sudoを使用してこれを行うことができますが(疑いのようにsudoersファイルを編集する)、実際にはそうしないでください。

喜んでuseradd -o -u 0 whatever新しいルートアカウントを追加します。今回もusermod -o -u 0 whatever既存アカウントをルートアカウントにすることができて嬉しいです。usermodアカウントのシェルを変更することも可能です(システム管理者のシェルの変更)。さまざまなグループも興味深いかもしれません(たとえば、/usr/local/binこのstaffグループに書き込むことは可能ですか?)。あるいは、同じ/var/spool/cron/*グループで確実に書くことができます。グループメンバーは通常、デフォルトのストレージデバイス(たとえば)に無制限の生のアクセス権を持ちます。daemoncrontabdisk/dev/sda

このようなものは、find / -perm /020 -not -type lどのように多くの他のものを一緒に書くことができるかについてのアイデアを与えることができます。

ユーザーを自由に操作できることはルートと同じです。したがって、ユーザーをsudoグループに追加し、そのユーザーにすべてのタスクを実行させることもできます。

おそらく非常に限られたユーザー操作を念頭に置いているでしょう。たとえば、ラッパースクリプトをsudo経由で実行することを許可すると安全です。または、ユーザーを代替リポジトリ(LDAP、MySQL/PostgreSQL/etc. データベースなど)に保存し、そこで限定編集のみを許可します。

関連情報