Разработчик проекта в котором я принимаю участие (проект — форк панели управления сервером VestaCP) хочет сделать такое разделение прав пользователей доменов:
- пользователь по имени admin, выполняет исключительно задачи системного администрования: останавливает/запускает процессы, устанавливает квоты для юзеров, создает удаляет обычных юзеров;
- обычный пользователь, который управляет только своими доменами;
- наиболее противоречивый и глупый пункт (как по мне) пользователь admin, который может админить сам сервер должен становиться обычным юзером, чтобы управлять его сущностями (доменами);
Мой вопрос: на основе чего это разделение можно сделать, кроме системы стандартных системных прав и в самом крайнем и извращенном случае контейнеров, что еще можно предложить? Поможет ли в этом случае AppArmor (ПУ планируется только под Debian/Ubuntu).
Просто переключение в обычного юзера, чтобы поадминить его хозяйство взрывает мне мозг своей чудовищной несуразностью, ИМХО. Возможно я неправ. Или прав?
И где можно почитать про best practices в решении таких задач.
