Я хочу ограничить пользователя root от установки пакетов
Да, если вы выполняете управление доступом на основе ролей (RBAC):
Управление доступом на основе ролей (RBAC) - это механизм нейтрального контроля политики, определенный вокруг ролей и привилегий. Компоненты RBAC, такие как ролевые разрешения, отношения роли пользователя и роли, упрощают выполнение пользовательских заданий. Исследование NIST показало, что RBAC удовлетворяет многие потребности коммерческих и правительственных организаций. RBAC может использоваться для упрощения администрирования безопасности в крупных организациях с сотнями пользователей и тысячами разрешений. Хотя RBAC отличается от MAC и DAC-систем управления доступом, он может применять эти политики без каких-либо осложнений. Его популярность очевидна из-за того, что многие продукты и предприятия используют это прямо или косвенно.См. управление доступом на основе ролей (RBAC)
В RBAC нет реального «корневого» пользователя, как обычно думают. То, что обычно считается «root», становится ролью, и вам не нужно предоставлять разрешения этой роли для установки программного обеспечения.
Однако внедрение RBAC не является тривиальным, и, в конце концов, вы все еще имеете иметь как минимум несколько системных администраторов, которые имеют полный доступ ко всему. Кто-то должен иметь доступ ко всему, чтобы настроить роли RBAC.
По моему опыту, RBAC действительно полезен для крупных организаций с большим количеством системных администраторов, которые должны делать разные вещи.
В США RBAC также может потребоваться для удовлетворения юридических требований, предъявляемых такими вещами, как HIPAA и Sarbanes-Oxley.
В вашем случае RBAC почти наверняка не стоит административных накладных расходов .
Но, безусловно, можно предотвратить «root» от установки программного обеспечения.
root является суперпользователем. Он может делать все по определению. Невозможно установить какие-либо ограничения на систему, которые не могут быть возвращены с правами root.
Да, если вы выполняете управление доступом на основе ролей (RBAC):
Управление доступом на основе ролей (RBAC) - это механизм нейтрального контроля политики, определенный вокруг ролей и привилегий. Компоненты RBAC, такие как ролевые разрешения, отношения роли пользователя и роли, упрощают выполнение пользовательских заданий. Исследование NIST показало, что RBAC удовлетворяет многие потребности коммерческих и правительственных организаций. RBAC может использоваться для упрощения администрирования безопасности в крупных организациях с сотнями пользователей и тысячами разрешений. Хотя RBAC отличается от MAC и DAC-систем управления доступом, он может применять эти политики без каких-либо осложнений. Его популярность очевидна из-за того, что многие продукты и предприятия используют это прямо или косвенно.См. управление доступом на основе ролей (RBAC)
В RBAC нет реального «корневого» пользователя, как обычно думают. То, что обычно считается «root», становится ролью, и вам не нужно предоставлять разрешения этой роли для установки программного обеспечения.
Однако внедрение RBAC не является тривиальным, и, в конце концов, вы все еще имеете иметь как минимум несколько системных администраторов, которые имеют полный доступ ко всему. Кто-то должен иметь доступ ко всему, чтобы настроить роли RBAC.
По моему опыту, RBAC действительно полезен для крупных организаций с большим количеством системных администраторов, которые должны делать разные вещи.
В США RBAC также может потребоваться для удовлетворения юридических требований, предъявляемых такими вещами, как HIPAA и Sarbanes-Oxley.
В вашем случае RBAC почти наверняка не стоит административных накладных расходов .
Но, безусловно, можно предотвратить «root» от установки программного обеспечения.
root является суперпользователем. Он может делать все по определению. Невозможно установить какие-либо ограничения на систему, которые не могут быть возвращены с правами root.