さまざまな構成ファイルの管理権限を制限する方法は?

さまざまな構成ファイルの管理権限を制限する方法は?

管理者は/ etc / fstabファイルを編集できますが、管理者はfstabファイルを編集できないことを望みます。

両方の管理者は他のすべての管理タスクにアクセスする必要があります。

可能ですか?

「sudo」がアクセスを許可するファイルを何らかの方法で設定する必要があるとします。または、管理者以外のアカウントを作成し、fstab-accessというグループを作成し、そのグループにユーザーの1人を追加し、そのグループの権限を設定しますか?私は正しい道を行っていますか?

答え1

彼らにすべてのものへのアクセスを与えると、明らかにすべての賭けがキャンセルされます。ただし、ユーザーが他の項目を編集せずに特定のファイルを編集できるようにすることはできます。たとえば、

user ALL = sudoedit /etc/fstab

ユーザーは/etc/fstabのみ編集できます。

答え2

ユーザーに編集のみを許可したい場合は、/etc/fstab次のようなさまざまな方法を使用できます。

  • アクセス制御リストが有効になっていることを確認しacl(項目のオプション)。/etc/fstab/setfacl -m user:joe:rw /etc/fstab
  • sudoersルールの追加: 実行とvisudo行の追加joe ALL = sudoedit /etc/fstab

誰ができることを感謝しやすいので、sudoアプローチをお勧めします。

ただし、ユーザーに編集を許可すると、/etc/fstabsetuidルートバイナリが移植された外部またはループファイルシステムをマウントできるようにするエントリを追加して、間接的にroot権限を取得できます。

ユーザーにのみ編集を許可するのはかなり奇妙ですfstab。ユーザーがリムーバブルデバイスをマウントできるようにするには、次を使用します。pmount(またはデスクトップ環境に依存)。

ユーザーがホワイトリストにないコマンドをrootとして実行できるようにした場合(「その他のすべての管理タスク」)、そのユーザーが特定のファイルを編集するのを防ぐことはできません。ある時点で、これらの人々を信頼するかどうかを決定する必要があります。あなたのコンピュータを管理できる人を信頼していない場合は、許可を与えないでください(他のコンピュータ、仮想マシンなどを使用することを許可します)。あなたが本当にそれらを信頼している場合は、ルートにし、特定のファイルが禁止されていると言います。

答え3

管理者が使用するすべてのユーティリティを列挙しようとする場合は、しばらくキーボードの前に座る必要があります。

技術的には、この欲求はLinuxの機能開発されました。必要な操作を実行するには、ユーザーに特定のfstab機能を付与し、制限されたuser2に同じ書き込み権限を付与せずにuser1にのみ書き込み権限(ACLまたは他の手段を介して)を付与できます(user2にCAP_CHOWNまたはCAP_DAC_OVERRIDEがないことを確認)。しかし、現在の機能状態(ユーザー空間がどのように開発されたかという点で)を考えると、おそらく価値よりも作業が多いでしょう。

責任を「ルートロール」シナリオに切り替えることができない場合は、さまざまなタスクにルートアカウントを使用することに制限されます。これにより、他のユーザーに必要なすべての可能なツールをシステムに通知する上記の問題が発生します(間接的に操作しないことを願っていますfstab)。

特定のユーザーを管理者として信頼できるかどうかを判断する方が良いでしょう。

関連情報