É uma ideia genuinamente interessante, mas não sem problemas.
Você pode adicionar um grupo "semiadmin" (sua escolha no nome), colocar um usuário nesse grupo em vez do grupo "sudo" e adicionar /etc/sudoers
linhas usando curingas para corresponder aos locais comuns da raiz comandos ao vivo:
%semiadmin (ALL)=/usr/bin/*,/bin/*,/sbin/*
O problema com essa abordagem é que você também precisaria evitar que alguém usasse qualquer editor (ou visudo
), ou deixá-los editar seu usuário ... Se eles puderem fazer isso, eles poderão elevar seus privilégios.
Simplificando, é muito mais fácil especificar exatamente quais comandos você deseja que eles usem.
Uma lista de comandos que você limpou para brechas.