より広範な権限を持つグループのユーザーに sudo 権限を制限します。

より広範な権限を持つグループのユーザーに sudo 権限を制限します。

簡単に言えば、このadminsグループはSSH認証とsudoers権限の決定に使用されます。このグループのすべてのメンバーにはadmins無制限のsudoアクセス権が必要ですが、グループの他のメンバーと同じように認証する必要がありますが、jsmith実行するにはsudoアクセス権のみが必要です。jsmithadminssystemctl restart smithscoolapp

私は次のようにsudoerを編集してみました。

jsmith ALL=systemctl restart smithscoolapp
admins ALL=(ALL) ALL

しかし、グループの特定のメンバーに対してsudoer権限を設定できますか?または、そのユーザーのために特別に「subadmins」グループを作成する必要がありますかjsmithsystemctl restart smithscoolapp

答え1

!ALLユーザーにはこれを指定する必要があります。

たとえば、次のような構成があります。

%wheel  ALL=(ALL)       ALL
sweh ALL=(ALL) !ALL,/bin/ls

私のユーザーはこのwheelグループに属しています。したがって、どのコマンドを実行できるかを尋ねる場合:

$ sudo -l 
User sweh may run the following commands on test1:
    (ALL) ALL
    (ALL) !ALL, /bin/ls

これでlsコマンドのみを実行できますがcat

$ sudo ls /root
anaconda-ks.cfg  ks-post.log  original-ks.cfg

$ sudo cat /etc/shadow
Sorry, user sweh is not allowed to execute '/bin/cat /etc/shadow' as root on test1.

答え2

私はあなたが説明する方法で権限を削除できるとは信じていません。

ssh代わりに、権限をsudo2つの別々のグループに分ける必要があります。すべてのユーザーを新しいsshグループに割り当て、他のすべてのユーザーをグループに追加しjsmithますsudo

UNIX / Linuxシステムでは、グループは階層的または継承されません。各グループに選択したすべてのユーザーを含める必要があります。

関連情報