Acesso do Sudo à conta de outro usuário

1

qual será a maneira mais eficiente para vários usuários (cerca de 15) conseguirem acessar a conta de outro usuário para executar comandos privilegiados?

para deixar claro, eu tenho um usuário principal chamado mainaccount que tem acesso sudo / root, eu também tenho 15 outros usuários que precisam ser capazes de alterar ou executar comandos su - mainaccount para gerenciar um ambiente de teste.

como posso fazer isso?

Edit: Estou perguntando como isso é feito, portanto, se o usuário user1 quiser executar um comando como mainaccount (su-mainaccount), mas sem colocar a senha da conta principal, em vez de usar sua própria senha. Eu acho que tipo como wheel group, onde você pode adicionar vários usuários, mas este apenas para poder alterar ou executar comandos como mainaccount

    
por user3311890 23.01.2017 / 19:22

1 resposta

2

Isso (e fazer back-ups) é praticamente o uso tradicional do usuário operador e do grupo ...

Configurar um grupo - por exemplo. mainusers - e adicione os usuários com permissão para "tornar-se" mainaccount

Em / etc / sudoers , adicione: %mainusers ALL = (root) su - mainaccount Isso permitirá que os membros de mainusers se tornem mainaccount usando su - mainaccount . Ao fazer isso como root , eles não precisam fornecer uma senha para o su -command. A alternativa %mainusers ALL = (mainaccount) ALL permite que os membros de mainusers executem qualquer comando como mainaccount .

Deixe mainaccount -user ser membro do sudo -group (ex. pode sudo to root e execute comandos como root ). Isso permitirá que qualquer usuário comece a usar conta principal para usar sudo para se tornar raiz .

Dito isto, isso parece uma má idéia! Talvez seja melhor deixar conta principal - e os usuários pertencentes a mainusers que podem se tornar ele - para ser permitido apenas executar um número limitado de comandos privilegiados (talvez apenas os comandos em um diretório dedicado), talvez como root . sudo pode ser usado para configurar isso também.

Você pode ver man sudoers - e no exemplo sudoers-file em / usr / share / doc / sudo / examples / - para mais inspiração. Observe especialmente como eles usam o alias e o operador -user / group no arquivo de exemplo. Aqui, "operadores" podem fazer trabalhos de manutenção diários - como desligar o computador, matar processos, iniciar / parar / adicionar impressoras, montar CDROMs e coisas assim - mas longe de tudo root (e membros do sudo -group) podem fazer. Esta é uma configuração mais apropriada para permitir que "usuários confiáveis" façam algumas tarefas administrativas cotidianas. Se você estiver executando vários computadores, também pode ser uma boa ideia limitar seus privilégios a apenas um ou dois computadores (por exemplo, grupos de usuários têm direitos especiais em "seus" computadores, mas não em outros computadores).

Então, se eu fosse você, eu pensaria duas vezes e talvez repensasse isso - especialmente o número de usuários que você pretende "promover". Se você tiver que fazer isso; Eu sugeriria o operador -solution - coloque-os em um grupo e use sudo para dar a eles um conjunto limitado de comandos privilegiados que eles poderiam executar (como root ) para corrigir problemas do dia-a-dia. Mas não deixe que todos possam ascender ao status root completo! Se você realmente precisa de alguém com privilégios root completos, escolha um par entre as dúzias em que você realmente confia e sabe sudo -group como co-administradores completos ... isso seria muito mais limpo e mais fácil de controlar do que o que você propôs.

    
por 23.01.2017 / 19:54