私のコンピュータにログファイルを保持したいと思います。また、ボリュームマウント/パッケージのインストールなど、さまざまなシステム固有のタスクを実行するために他のアカウントに権限を付与したいと思います。したがって、ユーザーはroot権限を持っている必要がありますが、特定のファイルを変更/削除/書き込みできないように単一のログファイルを制限する必要があります。
ベストアンサー1
まず、sudoersファイルを使用して、ルートがログファイルを書き込めないようにすることができます。
user ALL=(ALL) !/var/log/logfile
これにより、ログファイルがルートによって変更、移動、または削除されるのを防ぐことができます。
その後、ユーザーが必要と判断されるコマンドのみを使用できるように、sudoersファイルを編集できます。
user ALL=(ALL) /bin/command1 /bin/command2 /bin/command3
user ALL=(ALL) !ALL
これにより、ユーザーに不要なコマンドが無効になります。また、chattr +i /etc/sudoersユーザーがrootに変更してログファイルにアクセスできないように、sudoersファイルを変更できないようにすることもできます。