Eu adicionei linhas semelhantes a isso em um arquivo em /etc/sudoers.d/ :
%mygroupname ALL=(ALL) NOPASSWD: /sbin/mount, /sbin/umount
No entanto, acredito que isso pode ser melhorado. Por exemplo, estou considerando esta versão:
%mygroupname host9=(%wheel) NOPASSWD: /sbin/mount, /sbin/umount
Os comandos listados são apenas exemplos. No uso real, estes podem ser scripts personalizados ou comandos do sistema.
Minha intenção aqui, se eu entendi isso corretamente, é permitir que membros do mygroupname executem a montagem e desmontem apenas na máquina host9 específica e para evitar que a execução seja executada como "ALL". Eu ganho alguma coisa com essas etapas extras? Estou especialmente interessado em como aproveitar a lista de runas para que os comandos não possam ser executados como ALL.
Meu pensamento é que, se a limitação de runas não estiver definida ou estiver definida como ALL, isso abrirá mais falhas potenciais de segurança do que se uma definição runas mais limitada for usada. Estou pensando em criar um usuário ou grupo com privilégios específicos para essa finalidade, mas alguns dos comandos executados em scripts exigem direitos sudo. Eu ganho alguma coisa com esse esforço extra? Quaisquer sugestões sobre as melhores práticas são bem-vindas.
Minha pergunta específica é como definir corretamente a lista de runas para aumentar a segurança desses comandos privilegiados que usuários comuns podem executar.