Eu quero dar uma lista de usuários ou de determinados grupos no meu servidor CentOS 6.7 com permissão sudo mas sem acesso apenas a este arquivo /root/database.yml Isso é possível? O arquivo realmente tem uma senha que eu não quero que ninguém veja, exceto por mim. Qualquer sugestão ou ajuda é muito apreciada.
Sim, o programa sudo permite limitar o que um usuário pode fazer. A política está no arquivo /etc/sudoers . Se você quiser permitir apenas algumas operações, escreva um script que apenas implemente essas regras e restrinja-as a apenas executá-las como o comando. Para ter certeza de que a segurança é o que você deseja, provavelmente você precisa entender as páginas sudo e sudoers man.
Não, você não pode fazer isso. Se você der permissões de root para alguém, eles poderão fazer tudo, incluindo ler e gravar todos os arquivos. Mesmo se houvesse uma maneira de excluir de alguma forma o /root/database.yml , o root ainda poderia alterar a configuração do sudo, substituir o binário do sudo, acessar o disco diretamente, etc.
Se você não confia em seus colegas administradores, não armazene nenhum segredo na máquina.
Se você deseja armazenar um arquivo confidencial e ter administradores que não podem ler esse arquivo, o arquivo deve ser armazenado em uma máquina diferente daquela em que essas pessoas são administradores. As diferentes máquinas podem, é claro, ser máquinas virtuais ou contêineres, elas não precisam ser máquinas físicas separadas.
Portanto, coloque todos os serviços que você deseja que seus colegas administradores gerenciem em uma máquina virtual ou contêiner e faça-os root no recipiente da VM. Mantenha o arquivo confidencial /root/database.yml no host e não forneça nenhuma permissão de root no host.