Digamos que eu tenha 2 usuários - 'alice' e 'bob' e queira permitir que 'alice' execute qualquer comando como root, mas não execute comandos como 'bob' ou qualquer outro usuário, eu posso fazer isso, e se sim como?
considere este exemplo que permite que o james execute qualquer comando como alice
james ALL = (alice) TODOS
ou este exemplo que permite que o fred execute o comando ls como root
fred ALL = (raiz) / bin / ls
Eu suspeito que tenha algo a ver com modificações em / etc / sudoers, nos moldes de
alice ALL=(root) ALL ?
Uma vez que você é root, você pode se tornar qualquer outro usuário.
Se você puder limitar o alice a um conjunto restrito de comandos aprovados, você poderá impedi-la de se tornar outro usuário, mas cada comando executado como raiz precisará ser verificado para ver se eles têm vazamentos que permitem que ela use um programa não aprovado. Mas isso é muito complexo e pode não ser viável.
Acredito que os recursos do Linux permitem que você inicie um processo sem a capacidade de alterar o usuário, mesmo que seja root. setcap pode fazer o que você precisa, ou você pode querer olhar para o SELinux. No entanto, parece haver mais trabalho de desenvolvimento nessa área, parece. Veja esta postagem do Stack Overflow.