ユーザーログインのサブセットのみに制限するsuことは、セキュリティを強化する良い方法のように聞こえます。それがpam_wheel目的です。
はい
rootアカウントにはデフォルトでアクセス権が付与されており(rootok)、Wheelメンバーのみがrootになることができますが、Unixではrootではなく志願者を認証します。
su auth sufficient pam_rootok.so su auth required pam_wheel.so su auth required pam_unix.so
systemd-run(およびページに記載されているmachinectlように)rootとしてコマンドを実行できます。man認証/権限を付与するためにPolicyKitを使用します。 PAMセッションは開かれません。
それでは...これで、大規模なディストリビューションではデフォルトでsystemdを使用しているので、systemdこれらの方法の pam_wheel の同等の構成は何ですか?
完全強化の場合、これは他のサービスにも適用できます。特定のlibvirt操作はrootとしてのみ実行できます。だから基本的にこれはDockerと大きく変わらないと思います。要求されたソケットファイルを読み取るDockerデーモンへのアクセス権を付与することは、ルートアクセスと同じであり、操作はほとんど必要ありません。
pam_wheelと同じくらい簡単に設定できない場合は、それを適用できる便利な自動化がありますか?個人的に私はいくつかの自動化にAnsibleを使用しましたが、例として使用できるスクリプトに興味があります。