Я был в браузере популярных вопросов по stackexchange и нашел этот ответ на вопрос: https://serverfault.com/a/753295/282428
Что меня заинтересовало, так это «два» «Правило человека», или, более конкретно, как применить его к системе Linux (в данном случае Ubuntu).
Было подчеркнуто, что вы не можете запретить пользователю root
что-либо делать, вы можете только предотвратить это.
Итак, чтобы предотвратить это, допустим, я хочу, чтобы каждому пользователю без полномочий root требовался не только пароль для запуска sudo
, но и подтверждение другого пользователя в системе, который также имеет такое же ограничение.
Возможно ли это сделать?
Это не отвечает на Ваш точный вопрос, но могло бы быть достойно рассмотрения...
Требуют, чтобы эти 5 пользователей использовали пароль, как нормальный. Однако для входа в систему, им также нужен одноразовый пароль для Аутентификатор Google модуль PAM - который они получили бы от 6-го пользователя (их менеджер, например). 6-й пользователь должен был бы присутствовать с ними, когда они вошли в систему, потому что OTPs только остаются допустимыми в течение короткого времени. 6-му пользователю также был бы нужен Google Authenticator - т.е. приложение по их смартфону.
я не попробовал это - я не использовал модуль Google Authenticator PAM вообще - но предположение, что Вы были счастливы с "6-м пользователем" подход, я не вижу оснований, почему он не работал бы. В зависимости от Ваших потребностей (или паранойя!) Вы могли также потребовать YubiKey для 6-го пользователя.