新しいユーザーを作成し、そのユーザーが「useradd」と「usermod」のみを実行できるようにしたいと思います。
sudoersファイルを設定する必要がありますか?
何をすべきかわかりません。
ベストアンサー1
sudoを使用してこれを行うことができますが(疑いのようにsudoersファイルを編集する)、実際にはそうしないでください。
喜んでuseradd -o -u 0 whatever新しいルートアカウントを追加します。今回もusermod -o -u 0 whatever既存アカウントをルートアカウントにすることができて嬉しいです。usermodアカウントのシェルを変更することも可能です(システム管理者のシェルの変更)。さまざまなグループも興味深いかもしれません(たとえば、/usr/local/binこのstaffグループに書き込むことは可能ですか?)。あるいは、同じ/var/spool/cron/*グループで確実に書くことができます。グループメンバーは通常、デフォルトのストレージデバイス(たとえば)に無制限の生のアクセス権を持ちます。daemoncrontabdisk/dev/sda
このようなものは、find / -perm /020 -not -type lどのように多くの他のものを一緒に書くことができるかについてのアイデアを与えることができます。
ユーザーを自由に操作できることはルートと同じです。したがって、ユーザーをsudoグループに追加し、そのユーザーにすべてのタスクを実行させることもできます。
おそらく非常に限られたユーザー操作を念頭に置いているでしょう。たとえば、ラッパースクリプトをsudo経由で実行することを許可すると安全です。または、ユーザーを代替リポジトリ(LDAP、MySQL/PostgreSQL/etc. データベースなど)に保存し、そこで限定編集のみを許可します。