No meu site, a configuração típica dos sudoers tem Defaults mail_always globalmente definida, para que possamos acompanhar o que os usuários geralmente usam o sudo (que deve ser muito raro) e resolver as permissões para ações comuns. Isso é desativado por conta de função que precisa executar coisas como root.
Mudamos para uma política de desestímulo a logins diretos como contas de função para fins de auditoria e impedindo que os usuários da função se tornassem "contas de terceiros". Assim, temos muitos logins como um usuário regular do que imediatamente invocar sudo -u <role account> -i . Eu realmente gostaria de definir !mail_always apenas para a ação -i (que AFAIK, não há como definir regras específicas para -i no sudo) ou usuário X executando um comando apenas como usuário foo. Isso é possível? Eu sinto que a sintaxe deveria ser algo assim:
Defaults[:!>]realuser ALL = (roleuser) NOPASSWD: ALL !mail_always
ATUALIZAÇÃO:
Encontrei uma solução aceitável, se não ideal:
Defaults>ROLE_ACCOUNTS !mail_always
%wheel ALL = (ROLE_ACCOUNTS) NOPASSWD: ALL
Isso não é ideal, pois qualquer usuário, não apenas os membros do grupo wheel, não gerará notificações por email ao executar comandos ou invocar shells de login como uma das contas de função.
Tags sudo