existe-t-il un moyen simple de permettre à un utilisateur de s'exécuter (par exemple)
/usr/bin/pacman -S -u
en tant que root, sans lui permettre de courir
/usr/bin/pacman -S -u some_package
?
La ligne
user ALL=(root) NOPASSWD: /usr/bin/pacman -S -u
permet à la fois, et
user ALL=(root) NOPASSWD: /usr/bin/pacman -S -u ""
semble être sémantiquement équivalent.
Pour votre cas, essayez quelque chose comme ceci:
Cmnd_Alias PACMAN = /usr/bin/pacman -S -u, ! /usr/bin/pacman -S -u some_package
user ALL=(root) NOPASSWD: PACMAN
Vous pouvez utiliser des modèles de glob shell comme [az], [0-9], * etc. dans votre fichier sudoers pour exclure les packages qui correspondent à un certain modèle.
Écrivez un script qui fait ce que vous voulez et donnez-lui accès à sudo.
Assurez-vous également que quel que soit l'environnement dans lequel il est exécuté, il n'a pas du tout accès au réseau, ou ils peuvent simplement utiliser leur propre DNS pour usurper le miroir, puis exécuter du code arbitraire en tant que root lorsqu'il est installé par pacman.