知识屋:更实用的电脑技术知识网站
所在位置:首页 > 操作系统 > linux

linux sudoers中限制useradd的写法

发布时间:2014-09-05 14:46:01作者:知识屋

linux sudoers中限制useradd的写法
 
  sudo对大家来说都很熟悉了,可以让一个账户以其他的身份去执行某些应用程序。今天遇到的问题的是:想让tom用户管理系统账户。但是给tom账户执行useradd权限的时候,如果tom执行useradd 带-g root或者useradd -G root时会引起安全性的问题。所以需要限制一下。
       当然给passwd命令做限制很好做:
 
tom ALL=(ALL) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root
    这是因为passwd后面可接的参数特别少,对于useradd命令来说,它的参数很多。这样写就不行了,比如
 
tom ALL=(ALL) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/usr/sbin/useradd [a-zA-Z]*,!/usr/sbin/useradd -G root [a-zA-Z]*
这样写的话如果执行sudo useradd -u 1000 -G root user1的话,还是可以成功的。我想了下,得匹配-G 和其他参数的任意组合才可以。经过一番测试于是这样写:
 
tom ALL=(ALL) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/usr/sbin/useradd [a-zA-Z -/]*,!/usr/sbin/useradd [a-zA-Z -/]* -G root [a-zA-Z -/]*,!/usr/sbin/useradd [a-zA-Z -/]* -g root [a-zA-Z -/]*
这里不包括数字和-g root的情况,可以根据次类似的加进去。
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜