Как дать права root с ограничением?

Question

[Денис]

Доброго дня.
Необходимо создать пользователя с root права, но с некоторыми ограничениями.
Например:
1) созданный пользователь имел root права, но не мог удалить выше стоящего пользователя(первого пользователя или главного пользователя root) или не смог забрать у него root права.
2) созданный пользователь с root права не, смог отменить созданное выше стоящего(первого сощданногр пользователя с root)
3) созданный пользователь не смог бы создавать нового пользователя без согласования с вышестоящим пользователем root.
4) созданный пользователь не смог бы остановить или удалить критически важные программы/сервисы.
Я понимаю, кто то может сказать просто не давай такому пользователю root права и все. Но ситуация такова, что все же необходимо создать такого пользователя
Как говориться, сегодня он хороший пользователь, а завтра ему что то в голову влезет и начнёт пакостить. Вот и хочу обезопасить себя..
Подскажите, как лучше все это сделать?

Comments

[Everything_is_bad]

для чего именно ему нужен root? может ему просто разрешить какие-то ограниченные действия через sudo?

[Денис]

Everything_is_bad, разные задачи. Например в отсутствии админа, что бы этот пользователь мог админить. Есть ещё некоторые задачи..

[Владислав Лысков]

вообще хорошей практикой считается отключать системного рута и работать от пользователя через судо, и НИКОГДА ничего не делать от рута, а не множить их

[Виктор Кожухарь]

Вам бесплатный совет, который надо запомнить на всю жизнь: никогда не давайте никому root права. Даже сами не пользуйтесь root учёткой, а создайте себе самому пользователя, который может использовать sudo.
Это как мыть руки перед едой - вопрос гигиены. Да, 999 раз из 1000 ничего не случится, но в самый неподходящий момент подхватите какую-то такую болячку, которая 10 лет жизни заберёт.
Создайте группу, создайте права для этой группы, создайте пользователя для этой группы. Потратьте какое-то время, но обезопасьте себя.

Answer 1

[iiiopot]

root на то и root
root в Linux по определению имеет неограниченные права на систему.
Вместо этого можно создать нового пользователя и редактируя sudo (/etc/sudoers) ограничить те вещи, к которым новый пользователь не должен иметь доступ.

newuser ALL=(ALL) /bin/systemctl restart *, /bin/systemctl start *, !/bin/systemctl stop *, !/bin/systemctl disable *, !/usr/sbin/useradd, !/usr/sbin/userdel, !/usr/sbin/usermod

В этом случае пользователь может запускать и перезапускать сервисы, но не может останавливать или отключать их.

Но, в любом случае нужно понимать, что давая кому то привилегии, вы перманентно даете ему доступ к системе.
Потому, что если скажем, он все же запустит sudo bash, он сможет обойти ограничения.

Есть другие решения, например использование SELinux или AppArmor. Или контейнеров или виртуализации, но лучше просто не повышать привилегии. Обычному пользователю root не нужен.

Answer 2

[Александр]

Лучше не давать вообще права рут.

Answer 3

[SunTechnik]

По идеологии Linux - все есть файл.
Поэтому, если у меня появилась возможность запустить любой текстовый редактор с правами root (не важно через sudo или ещё как), я могу все перекроить в системе. Может потребоваться правка других файлов, но джина уже не остановить.

Можно через sudo дать повышенные привелегии на запуск конкретных команд, но если роль пользователя не формализована, а описана словами: админить, всего не предусмотреть. И очень быстро в список команд попадает текстовый редактор.

Включённый Selinux может усложнить жизнь злоумышленнику, но сначала попьет Вашей крови..