用於審計目的的 Linux 使用者

是否可以創建一個具有隻讀 root 權限的使用者，以便該使用者可以看到整個文件系統，但不能更改任何內容？

這適用於審計和故障排除方案，我們希望授權某人進行調查，但不希望他們搞砸。

不建議授予使用者對整個文件系統的權限。但是，我們可以使用 ACL 將使用者權限限制在少數目錄中。

像，

setfacl -R -m u:readOnlyUser:r /var/log

• -R遞歸地給予許可
• -m修改 ACL
• u修改使用者 (readOnlyUser)
• r只授予讀取權限

同樣，我們可以給多個目錄。

你到底想審計什麼？您需要的大多數資訊可能在系統或應用程序日誌中可用。如果沒有，請查看是否可以配置（或修改應用程序以記錄相關活動）。Unixy 系統作為伺服器的標準票價已經有很長一段時間了，如果您的要求以前沒有引起某人的不適，那將是非常不尋常的。搜尋/詢問您的具體要求。對此類數據進行分段可能會有所回報，以便能夠在需要知道的基礎上限制訪問。

引用自：https://unix.stackexchange.com/questions/569526