Olá pessoal,
ContextoEstou querendo elevar o nível de segurança nos servidores do meu departamento. Atualmente, todos os administradores podem executar quaisquer comandos usando sudo. Eu quero mudar isso, permitindo que os administradores executem somente os comandos necessários para cada servidor ou serviço. O grande problema é que não é fácil fazer esse levantamento devido a quantidade de servidores e serviços. Caso seja implementado da noite pro dia poderia gerar transtornos na produção, já que seria necessário interromper o trabalho frequentemente para conceder novas permissões.
O problemaPara poder catalogar cada comando necessário antes de implementar essa mudança, eu gostaria de receber e-mails de
sudo apenas daqueles comandos que ainda não inseri no arquivo
sudoers e, ainda assim, conceder acesso total aos administradores do sistema. A opção
mail_always não resolveria meu problema, já que ele enviaria e-mails mesmo que os eles já constem no
sudoers.
Eu li o man e já procurei um bocado na net, sem sucesso
. Alguém poderia me ajudar?