czy istnieje prosty sposób, aby pozwolić użytkownikowi na uruchomienie (na przykład)
/usr/bin/pacman -S -u
jako root, nie pozwalając mu na bieganie
/usr/bin/pacman -S -u some_package
?
Linia
user ALL=(root) NOPASSWD: /usr/bin/pacman -S -u
pozwala zarówno, jak i
user ALL=(root) NOPASSWD: /usr/bin/pacman -S -u ""
wydaje się semantycznie równoważny.
W twoim przypadku spróbuj czegoś takiego:
Cmnd_Alias PACMAN = /usr/bin/pacman -S -u, ! /usr/bin/pacman -S -u some_package
user ALL=(root) NOPASSWD: PACMAN
Możesz użyć wzorców globu powłoki, takich jak [az], [0-9], * itd. W pliku sudoers, aby wykluczyć pakiety pasujące do określonego wzorca.
Napisz skrypt, który robi, co chcesz i daj sudo do niego dostęp.
Upewnij się także, że w jakimkolwiek środowisku, w którym jest uruchomiony, nie ma w ogóle dostępu do sieci, lub mogą po prostu użyć własnych dns, aby sfałszować kopię lustrzaną, a następnie uruchomić dowolny kod jako root, gdy zostanie zainstalowany przez Pacmana.