Anda dapat menentukan perintah yang diizinkan dengan sudo, Anda tidak harus mengizinkan akses tak terbatas, mis.
username ALL = NOPASSWD : /usr/bin/apt-get , /usr/bin/aptitude
Ini akan memungkinkan nama pengguna untuk menjalankan sudo apt-get dan sudo aptitude tanpa kata sandi apa pun tetapi tidak akan mengizinkan perintah lain apa pun.
Anda juga dapat menggunakan packagekit yang digabungkan dengan PolicyKit untuk tingkat kontrol yang lebih baik daripada sudo.
Mengizinkan pengguna untuk menginstal/menghapus paket bisa menjadi risiko. Mereka dapat dengan mudah membuat sistem menjadi tidak berfungsi hanya dengan menghapus instalan perangkat lunak yang diperlukan seperti libc6, dpkg, rpm, dll. Menginstal perangkat lunak sewenang-wenang dari arsip yang ditentukan memungkinkan penyerang menginstal perangkat lunak yang sudah usang atau dapat dieksploitasi dan mendapatkan akses root. Pertanyaan utama menurut saya adalah seberapa besar Anda memercayai karyawan Anda?
Tentu saja tim admin Anda juga dapat mulai menggunakan sistem manajemen konfigurasi seperti boneka, koki, atau melihat spacewalk untuk mengelola sistem Anda. Ini akan memungkinkan mereka untuk mengonfigurasi dan mengelola sistem dari sistem pusat.
aptdcon
Dari halaman manual:
aptdcon:memungkinkan untuk melakukan tugas manajemen paket, mis. menginstal atau menghapus perangkat lunak, menggunakan aptdaemon. Tidak perlu menjadi root untuk menjalankan program ini.
username ALL = NOPASSWD : /usr/bin/yum, /bin/rpm