создание группы власти

Question 1

Я хочу создать группу, которая может выполнять некоторые привилегированные команды, но не все. Например, опытный пользователь может получить доступ к домашним файлам (от одного пользователя к другому), но ему нельзя разрешать запускать команду apt-get.

Как мне это сделать?

Question 2

С sudoers механизм можно дать определенное полномочие определенному пользователю или группе.
Отредактировать /etc/sudoers файл необходимо использовать visudo.

например, дать или инвертировать только некоторые определенные команды пользователю igor Вы могут добавить строку

 igor    ALL=(ALL) /bin/kill, /usr/bin/, !/usr/bin/apt-get

в этом примере пользователь igor может выполнить с sudo всю команду в /usr/bin команда /bin/kill но нет /usr/bin/apt-get.
Пути команды разделяются один от другого запятой , и отрицаемый !

Чтобы дать или инвертировать корневой доступ к группе, для ряда команд, можно добавить строку

 %geeks ALL = (root) /usr/bin/,!/usr/bin/apt-get,!/usr/bin/aptitude,!/usr/bin/dpkg

в этом случае Вы предоставите к группе фанатов корневой доступ ко всем командам в/usr/bin за исключениями apt-get aptitude и dpkg.

Чтобы добавить к фанатам группы пользователя igor, например, можно записать

# sudo usermod -a -G geeks igor

Linux наследовал от UNIX понятие владений и полномочий для файлов. Это означает, что даже без корневых пользователей доступа, принадлежащих той же группе, может совместно использовать файлы среди них а не с остальной частью мира. С ls -l Вы заметите в левой части строку как это

-rw-r--r--   1  igor  geeks  1892  Jul 10  18:30 The_not_so_short.pdf

Слева направо это строковое средство -rwxrw-r-- это: (первое положение), не специальный файл или каталог (существует тире - это означает, что этот атрибут выключен),rwx Читайте Запись выполняются позволенный самому пользователю (первый блок 3), rw- Читайте Запись No выполняются для пользователей его группы (второй блок 3), r-- Читайте, Никакая Запись, Нет выполнитесь для других пользователей (третий блок 3). Возможно переключить каждый сингл атрибуты для каждого единственного файла или каталога.

Чтобы дать вместо этого этой группе возможность только для изменения каталога независимо от разрешения, это твердо. Это не делает существует исполняемая команда cd потому что каждая команда выполняется в дочернем процессе и может влиять только на свой текущий рабочий каталог а не один родителя. Это лучше объяснено здесь. Таким образом для изменения каталога необходимо дать возможность выполнить a shell как корень, и это означает практичное предоставление полных полномочий...

Ссылки и дополнительные материалы для чтения:

man sudoers, man visudo и конечно man sudo
Как предоставить корневой доступ к группе для нескольких команд только
Linux / Команда Unix: sudoers

Community · Accepted Answer · 18 July 2014 в 00:56

С sudoers механизм можно дать определенное полномочие определенному пользователю или группе.
Отредактировать /etc/sudoers файл необходимо использовать visudo.

например, дать или инвертировать только некоторые определенные команды пользователю igor Вы могут добавить строку

 igor    ALL=(ALL) /bin/kill, /usr/bin/, !/usr/bin/apt-get

в этом примере пользователь igor может выполнить с sudo всю команду в /usr/bin команда /bin/kill но нет /usr/bin/apt-get.
Пути команды разделяются один от другого запятой , и отрицаемый !

Чтобы дать или инвертировать корневой доступ к группе, для ряда команд, можно добавить строку

 %geeks ALL = (root) /usr/bin/,!/usr/bin/apt-get,!/usr/bin/aptitude,!/usr/bin/dpkg

в этом случае Вы предоставите к группе фанатов корневой доступ ко всем командам в/usr/bin за исключениями apt-get aptitude и dpkg.

Чтобы добавить к фанатам группы пользователя igor, например, можно записать

# sudo usermod -a -G geeks igor

Linux наследовал от UNIX понятие владений и полномочий для файлов. Это означает, что даже без корневых пользователей доступа, принадлежащих той же группе, может совместно использовать файлы среди них а не с остальной частью мира. С ls -l Вы заметите в левой части строку как это

-rw-r--r--   1  igor  geeks  1892  Jul 10  18:30 The_not_so_short.pdf

Слева направо это строковое средство -rwxrw-r-- это: (первое положение), не специальный файл или каталог (существует тире - это означает, что этот атрибут выключен),rwx Читайте Запись выполняются позволенный самому пользователю (первый блок 3), rw- Читайте Запись No выполняются для пользователей его группы (второй блок 3), r-- Читайте, Никакая Запись, Нет выполнитесь для других пользователей (третий блок 3). Возможно переключить каждый сингл атрибуты для каждого единственного файла или каталога.

Чтобы дать вместо этого этой группе возможность только для изменения каталога независимо от разрешения, это твердо. Это не делает существует исполняемая команда cd потому что каждая команда выполняется в дочернем процессе и может влиять только на свой текущий рабочий каталог а не один родителя. Это лучше объяснено здесь. Таким образом для изменения каталога необходимо дать возможность выполнить a shell как корень, и это означает практичное предоставление полных полномочий...

Ссылки и дополнительные материалы для чтения:

man sudoers, man visudo и конечно man sudo
Как предоставить корневой доступ к группе для нескольких команд только
Linux / Команда Unix: sudoers

создание группы власти

1 ответ

Другие вопросы по тегам:

Похожие вопросы: