Eingeschränkten Root-Zugriff einrichten RedHat Enterprise Linux (RHEL)?

482
Ramesh

Ich muss bestimmten Benutzern einen eingeschränkten Zugriff auf den Lab-Server erlauben. Der Server ist RedHat Enterprise Linux (RHEL) 5.6. Ich möchte ihnen jedoch nicht den Root-Zugriff geben. Grundsätzlich haben wir einen LDAP-Server konfiguriert, auf dem alle Benutzer die NFS- und LDAP-Anmeldung von einem der Client-Computer im Netzwerk aus zentralisiert haben. Der Home-Bereich der LDAP-Benutzer befindet sich also /home/usersauf dem Server. Ich muss nur einem bestimmten Benutzer Zugriff auf diesen Ordner gewähren.

Wenn ich die visudo-Datei bearbeite und die folgende Zeile hinzufüge, kann ich dann erreichen, wonach ich suche?

user1, %operator ALL= /home/users
1
Wenn ich mich an meine Sudo-Syntax erinnere, nein. Auf diese Weise können Benutzer1 oder Gruppenoperatoren von jedem Computer / von jeder Adresse aus Sudo ausführen und einen Befehl namens / home / users ausführen. (1) Wenn Sie einem Benutzer Zugriff auf einen privilegierten Befehl gewähren möchten, jedoch nicht auf andere Befehle, ist dies ein guter Weg. (2) Sie können Ihr Ziel auch mit Standard-Unix-Perms erreichen, indem Sie einfach eine Gruppe mit dem Namen ldapgrp erstellen und user1 und alle Benutzer einschließen, die sich in der Gruppe "operator" befinden. Wenden Sie dann Standard-Unix-Typ-Perms auf das Verzeichnis an. (3) Ich habe keine aktuellen Kommentare dazu, ob ACLs leichter zu erstellen oder zu verwalten sind. TOOGAM vor 9 Jahren 0

1 Antwort auf die Frage

-4
Markus Iturriaga

Wenn ich Sie richtig verstehe, möchten Sie einem bestimmten Benutzer volle Lese- / Schreibrechte für das Verzeichnis / home / users und die Unterverzeichnisse erteilen. Sie wollen nicht, dass der Benutzer Prozesse als Raum ausführt, richtig? Wenn ja, dann ist Sudo möglicherweise nicht der beste Mechanismus. Sie sollten die Verwendung von Zugriffssteuerungslisten (ACLs) in Betracht ziehen, um dem Benutzer Zugriff auf diese Dateien zu gewähren. Sie könnten dann die Dateien nur mit ihrem normalen Benutzerkonto lesen (und wenn gewünscht schreiben), ohne dass sie dazu sudo benötigen.

Sie müssen das Dateisystem mit ACL-Unterstützung mounten (normalerweise die Option "acl"). Dann müssen Sie Ihrem Zielbenutzer über den Befehl "setfacl" die entsprechende Zugriffsebene zuweisen. Ich empfehle Ihnen, die Handbuchseite zu lesen und auch auszuprobieren:

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/ch-acls.html

Dies führt zu ziemlich guten Details zum Festlegen von ACLs. Stellen Sie sicher, dass Sie die Standard-ACLs auch für Verzeichnisse festlegen, damit neue Dateien und Verzeichnisse die richtigen ACLs erhalten.

Verwandte Probleme