Czy jest jakiś sposób, aby zezwolić użytkownikowi na wykonywanie poleceń tylko przez 2 dni

13

Jak zezwolić na polecenie sudo na określony czas? czy istnieje jakiś sposób nadania uprawnień do wykonania określonego polecenia przez 2 dni tylko w pliku sudoers.?

sudo Abbas Kapasi
źródło

Odpowiedzi:

18

Plik sudoers nie obsługuje ograniczeń czasowych, ale istnieje prosta metoda. Utwórz plik ze swoimi zmianami w /etc/sudoers.d/(z sudo visudo -f /etc/sudoers.d/yourfile):

Dodaj do pliku (przykład:) file.shnastępujące

mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile

A to wyłączy twoje zmiany:

 sudo at -f file.sh 2pm + 2 days

Przykład:

at -f file.sh 2pm + 2 days
warning: commands will be executed using /bin/sh
job 4 at Thu Oct 15 14:00:00 2015

W takim przypadku plik zostałby przeniesiony o godzinie 14:00 po 2 dniach od wydania polecenia. at Instrukcja ma kilka opcji (można użyć raz, dni, tygodnie, miesiące, lata, słowa kluczowe, jak obok lub dodaj / odejmij periodes). Przeprowadź kilka testów z opcją upewnienia się, że to rozumiesz (Coś do rozważenia: ma to znaczenie, jeśli zaczynasz atprzed lub po 14.00 w ten sam dzień.)

atprzetrwa także restarty, więc jest dobrym narzędziem do tego typu rzeczy. I możesz przełączać dostęp ...

sudo mv /etc/sudoers.d/.yourfile /etc/sudoers.d/yourfile | at 2pm + 2 days
sudo mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile | at 2pm + 4 days
sudo mv /etc/sudoers.d/.yourfile /etc/sudoers.d/yourfile | at 2pm + 6 days
sudo mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile | at 2pm + 8 days

i zmusić tego użytkownika do szaleństwa (wtf teraz mogę to zrobić).

README w /etc/sudoers/:

# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
# 
#   #includedir /etc/sudoers.d
# 
# This will cause sudo to read and parse any files in the /etc/sudoers.d 
# directory that do not end in '~' or contain a '.' character.
# 
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
# 
# Note also, that because sudoers contents can vary widely, no attempt is 
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable 
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.

Jeśli przeczytam to poprawnie, nie wykona żadnego pliku z „.” gdziekolwiek w nazwie. Więc pierwsze mvpolecenie umieściłem „.” z przodu, dzięki czemu jest również niewidoczny. Jeśli poprawnie założono, możesz umieścić „.” gdziekolwiek. Ostrożnie z „~”, ten jest używany jako funkcja „kopii zapasowej” przez edytorów takich jak gEdit.

atnie jest instalowany domyślnie. Żeby zainstalować

sudo apt-get install at
Rinzwind
źródło
Dzięki, już o tym myślałem, ale sytuacja jest taka, że ​​wielu użytkowników używa pliku do własnych celów, więc nie jest możliwe tworzenie kopii zapasowych i przywracanie pliku sudoers za każdym razem, gdy inni użytkownicy modyfikują ten sam plik sudoers, więc kiedy przywracam stary plik, wszystkie zmiany wprowadzone przez innych użytkowników znikną ...
Abbas Kapasi,
2
Co powiesz na tego pana? Aha, czy mogę zasugerować wielu użytkownikom, aby sami używali sudoers.d z własną nazwą pliku. Wydaje się o wiele lepszy niż edycja sudoers.
Rinzwind
@AbbasKapasi utwórz nowy plik, w /etc/sudoers.dktórym inni użytkownicy nie będą używać.
muru
Myślę, że polecenie użyte w całej odpowiedzi powinno być mv, nie cp.
Cthulhu
3
gdzie widzisz cp?
gwiżdże