2

У нас есть несколько администраторов уровня 2, которые имеют очень ограниченные права администратора, предоставляемые через sudo; Поскольку у них ограниченный опыт, мы действительно хотим поместить их в узкий набор операций, которые они могут выполнять.

Одна из их задач обычно заключается в копировании чего-либо в подкаталог корневого каталога, скажем, /data.

Этот каталог принадлежит другому пользователю и группе, так как он в основном обращается к нему и манипулирует его содержимым.

Однако, если я предоставляю им доступ sudo cp, я несколько оставляю систему открытой, так как они могут перезаписать файл в любом месте системы, тогда как они нужны мне только для того, чтобы иметь возможность скопировать что-то в /data и ниже.

Можно ли разрешить sudo доступ к cp, но только в ограниченном случае, я сейчас думаю не без создания скрипта.

Другой альтернативой является создание защищенной службы ftp и предоставление им доступа таким образом. Мысли приветствуются.

|источник

3 ответа3

1

Обычное решение здесь - сделать данные принадлежащими к группе, к которой принадлежат только администраторы уровня 2. Если у вас есть ACL, то это также можно использовать.

|источник
0

Если бы это был cp, запускаемый определенным событием или условием, я бы написал его и позволил cron позаботиться о копиях файла.

|источник
0

Предпочтительный способ сделать это - определить умную и стабильную группу разрешений, которая позволяет любому действующему субъекту получать доступ к файлам по мере необходимости, но возможно предоставить sudo доступ к cp с определенными параметрами в файле sudoers. Согласно определению EBNF на странице руководства, раздел « Псевдонимы ». 

commandname ::= file name |
             file name args |
             file name '""'

Эти аргументы команды также позволяют использовать подстановочные знаки для сопоставления строк аргументов (см. Справочную страницу снова)

Это означает, что вы можете добавить к sudoers что-то вроде этого:

user1 ALL= /bin/cp * /protected/path/dir*

чтобы позволить user1 скопировать любой файл в /protected/path/dir и любой из его подкаталогов как root

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .