是可以实现的,不过不太完美,对蓄意修改者还是无效,对一般用户来说没问题。
实施限制
可以对用户能够运行的命令实施限制。假设有一个名为 dataex 的组,其成员是 “ alpha ”、“ bravo ” 和 “ charlie ”。现在,已经允许这个组运行 sudo 命令 /usr/local/bin/mis_ext *,这里的星号代表传递给脚本的许多参数。但是,如果参数是 import,就不允许用户 “ charlie ” 执行此脚本。可以使用逻辑否 '!' 操作符设置这种条件。下面是在 sudoers 中的实现方法:
1 %dataex rs6000 = (dbmis) NOPASSWD: /usr/local/bin/mis_ext *
2 charlie rs6000 = (dbmis) NOPASSWD: !/usr/local/bin/mis_ext import
参考:
https://www.ibm.com/developerworks/cn/aix/library/au-sudo/index.html