linux sudoers中限制useradd的写法-niao5929-ChinaUnix博客

birdofpreybirdofprey.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

niao5929

博客访问： 6841906
博文数量： 3857
博客积分： 6409
博客等级：准将
技术积分： 15948
用户组：普通用户
注册时间： 2008-09-02 16:48

个人简介

迷彩潜伏隐蔽伪装

文章分类

全部博文（3857）

大数据计算（149）
随想（82）
编程语言（372）

python（3）

lisp（0）

JAVA C++（2）

GOLANG（0）
数据库（115）
高可用集群（412）

分布式系统（26）

SDN（0）

细胞节点（78）

分布式网络（5）
Linux（1172）

SHELL（10）

网络（209）
未分配的博文（1555）

文章存档

2017年（5）

2016年（63）

2015年（927）

2014年（677）

2013年（807）

2012年（1241）

2011年（67）

2010年（7）

2009年（36）

2008年（28）

我的朋友

相关博文

linux sudoers中限制useradd的写法

分类： LINUX

2013-04-22 08:50:34

原文地址：linux sudoers中限制useradd的写法作者：那片依然海

sudo对大家来说都很熟悉了，可以让一个账户以其他的身份去执行某些应用程序。今天遇到的问题的是：想让tom用户管理系统账户。但是给tom账户执行useradd权限的时候，如果tom执行useradd 带-g root或者useradd -G root时会引起安全性的问题。所以需要限制一下。
当然给passwd命令做限制很好做：

tom ALL=(ALL) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root

这是因为passwd后面可接的参数特别少，对于useradd命令来说，它的参数很多。这样写就不行了，比如

tom ALL=(ALL) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/usr/sbin/useradd [a-zA-Z]*,!/usr/sbin/useradd -G root [a-zA-Z]*

这样写的话如果执行sudo useradd -u 1000 -G root user1的话，还是可以成功的。我想了下，得匹配-G 和其他参数的任意组合才可以。经过一番测试于是这样写：

tom ALL=(ALL) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/usr/sbin/useradd [a-zA-Z -/]*,!/usr/sbin/useradd [a-zA-Z -/]* -G root [a-zA-Z -/]*,!/usr/sbin/useradd [a-zA-Z -/]* -g root [a-zA-Z -/]*

这里不包括数字和-g root的情况，可以根据次类似的加进去。

阅读(560) | 评论(0) | 转发(0) |

上一篇：Linux 集群lvs实战

下一篇：Linux的LDAP认证服务器的配置及客户端pam网络验证实例

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6