Я хочу запретить sudo
выполнять файлы, не принадлежащие пользователю root.
Итак, чтобы позволить sudo запустить такой файл, я хочу, чтобы файл был:
chown root:root filename
chmod go-w filename
Можно ли ограничить sudo
таким образом?
Он также должен наследоваться графическими sudo
подобными бегунами (gksudo, kdesudo, ...), но я думаю, что это может быть слишком сложно, не уверен, что.
Это - по-настоящему интересная идея, но не без проблем.
Вы могли добавить "полуадминистраторскую" группу (Ваш выбор на имени), поместить пользователя в ту группу вместо "sudo" группы, и затем добавить /etc/sudoers
строки с помощью подстановочных знаков для соответствия общим местам корневые живые команды:
%semiadmin (ALL)=/usr/bin/*,/bin/*,/sbin/*
проблема с этим подходом - Вы, должен был бы также предотвратить кого-то использующего любого редактора (или visudo
) или позволить им отредактировать своего пользователя... Если они могут сделать это, они могут поднять свои полномочия.
Проще говоря, намного легче определить точно, какие команды Вы хотите, чтобы они использовали.
список А команд Вы санировали для лазеек.
Вход в систему как владелец файла, который не является корнем и отменяет разрешение выполнения от других пользователей, использующих эту команду
chmod o-x filename