A solução normal aqui é fazer com que os dados pertençam a um grupo ao qual apenas os administradores tier2 pertencem. Se você tem ACL, isso também pode ser usado.
Temos vários administradores tier2 que têm direitos de administrador muito limitados concedidos pelo sudo; Como eles têm uma experiência limitada, nós realmente queremos colocá-los em um conjunto restrito de operações que eles podem realizar.
Uma de suas tarefas geralmente envolve copiar algo para um subdiretório de um diretório raiz, digamos / data.
Esse diretório é de propriedade de outro usuário e grupo, pois está acessando-o principalmente e manipula seu conteúdo.
Se eu lhes conceder acesso ao sudo cp, deixo o sistema aberto de alguma forma, já que eles poderiam escrever um arquivo em qualquer lugar do sysyem, ao passo que eu só preciso deles para copiar em / data e abaixo.
É possível permitir o acesso sudo ao cp, mas apenas em um caso de uso limitado, atualmente estou pensando não sem criar um script.
Outra alternativa é estabelecer um serviço FTP seguro e conceder acesso a eles dessa maneira. Pensamentos bem-vindos.
A maneira preferida de fazer isso é definir um grupo de permissões inteligente e estável que permita a qualquer ator acessar os arquivos conforme necessário, mas é possível conceder acesso sudo ao cp com certos parâmetros no arquivo sudoers. De acordo com a definição EBNF na página man, seção " Aliases ".
commandname ::= file name |
file name args |
file name '""'
Esses argumentos de comando também permitem o uso de curingas para correspondência de cadeia de argumento (consulte Página man novamente
Isso significa que você pode adicionar aos sudoers algo assim:
user1 ALL= /bin/cp * /protected/path/dir*
para permitir que user1 copie qualquer arquivo para o /protected/path/dir e qualquer um de seus subdiretórios como raiz
Se este foi um cp que é desencadeado por um determinado evento ou condição, eu iria fazer o script e deixar o cron cuidar das cópias dos arquivos.