temos um grupo chamado JBossAdmins e os usuários deste grupo devem editar alguns arquivos / etc em um RHEL 6:
minha primeira ideia foi dar as seguintes permissões sudo:
%JBossAdmins ALL=(root) /bin/vi /etc/httpd/*
%JBossAdmins ALL=(root) /bin/vi /etc/java/*
%JBossAdmins ALL=(root) /bin/vi /etc/jboss/*
Obviamente, os usuários podem agora iniciar o vi como root e editar qualquer arquivo executando f.e. :e /etc/passwd
Então o sudo não é uma boa ideia.
Em seguida, veio-me à mente fazer um chgrp JBossAdmins -R path e, em seguida, um chmod g+rw -R path .
Mas também não sei se isso é uma boa ideia.
Então, considerando as implicações de segurança, qual é a melhor prática permitindo que um grupo de usuários edite algum arquivo / etc? Existem alternativas melhores do que sudo ou chgrp / chmod?
Dar a alguém sudo em vi é sempre uma má ideia. Eles podem sair do vi com um shell de root emitindo o comando :shell . Você não quer isso.
Uma alternativa para você pode ser sudoedit .
Você pode conceder aos seus usuários / grupos direitos para sudoedit no sudoers -file:
%JBossAdmins <hostname>: sudoedit /etc/httpd/*
%JBossAdmins <hostname>: sudoedit /etc/java/*
%JBossAdmins <hostname>: sudoedit /etc/jboss/*
Você pode usar o acls e fazer algo como
setfacl -m g:JBossAdmins:rw /path/to/file
que concede permissão r / w a qualquer pessoa no grupo JBossAdmins para os arquivos específicos.