다음 파일에 이와 유사한 줄을 추가했습니다 /etc/sudoers.d/.
%mygroupname ALL=(ALL) NOPASSWD: /sbin/mount, /sbin/umount
그러나 나는 이것이 개선될 수 있다고 믿는다. 예를 들어 다음 버전을 고려 중입니다.
%mygroupname host9=(%wheel) NOPASSWD: /sbin/mount, /sbin/umount
나열된 명령은 단지 예일 뿐입니다. 실제 사용 시 이는 사용자 정의 스크립트 또는 시스템 명령일 수 있습니다.
내가 올바르게 이해했다면 내 의도는 mygroupname의 구성원이 특정 호스트9 시스템에서만 마운트 및 마운트 해제를 수행하도록 허용하고 더 나아가 실행이 "ALL"로 실행되는 것을 방지하는 것입니다. 이러한 추가 단계를 통해 어떤 이점을 얻을 수 있나요? 특히 명령이 모두 실행되지 않도록 runas 목록을 활용하는 방법에 관심이 있습니다.
내 생각에는 runas 제한이 정의되지 않았거나 ALL로 정의된 경우 더 제한된 runas 정의를 사용하는 것보다 잠재적인 보안 허점이 더 많다는 것입니다. 이 목적을 위해 특정 권한이 있는 사용자 또는 그룹을 만들려고 생각하고 있지만 스크립트 내에서 실행되는 일부 명령에는 sudo 권한이 필요합니다. 이 추가 노력으로 뭔가를 얻을 수 있나요? 모범 사례에 대한 제안을 환영합니다.
내 구체적인 질문은 일반 사용자가 실행할 수 있는 이러한 권한 있는 명령에 대한 보안을 강화하기 위해 runas 목록을 올바르게 정의하는 방법입니다.