Eu tento encontrar uma solução sobre um problema de sudo.
Eu preciso enviar diferentes arquivos sudoers em diferentes servidores, dependendo dos usuários presentes nos servidores. Mas gostaria de saber se posso evitar isso e colocar um único arquivo sudoers em todos os lugares.
por exemplo:
alguns servidores tem vários grupos terminando com "-dv-grp", e alguns servidores têm grupo terminando com "-pa-grp"
Seria legal se eu pudesse colocar o curinga no nome do grupo assim:
%*-grp ALL=(ALL) NOPASSWD: /usr/bin/vi
mas não está funcionando, mesmo se eu definir um User_Alias (eu também tentei com aspas simples e duplas) .... e eu não posso colocar todos esses grupos em um único grupo mestre (por razões de segurança no meu infra).
se realmente não for possível eu vou criar um grupo diferente para colocá-los nesses diferentes grupos, mas precisarei gerenciar diferentes versões do arquivo sudoers ..... e eu gostaria de evitar que
Você pode confirmar que não é possível? alguma ideia?
Não seriam várias as linhas que se seguem?
%g1-dv-grp server1=(ALL) NOPASSWD: some_commands
%g1-pa-grp server2=(ALL) NOPASSWD: some_commands
%g2-pa-grp server3=(ALL) NOPASSWD: some_commands
Yuu ainda precisa de linhas para cada combinação de servidor / grupo (por isso, não é tão interessante quanto caracteres curinga), mas significa que você pode ter um único arquivo sudoers em todas as máquinas.