Zezwól niektórym gościom na wykonywanie określonych poleceń

Chciałbym utworzyć nowego użytkownika na niektórych moich hostach Debian / Ubuntu, który jest w stanie zaktualizować serwer za pomocą poleceń apt-get updatei apt-get dist-upgrade, ale nie chcę dać im pełnego dostępu do sudo, aby móc robić cokolwiek innego. czy to możliwe? Być może istnieje sposób na stworzenie skryptu, którego nie mogą edytować, ale mogą zostać wykonane, co zostanie wykonane jako użytkownik root?

Sudoa /etc/sudoersplik nie służy wyłącznie do zapewnienia użytkownikom pełnego dostępu do katalogu głównego.

Możesz edytować plik sudoers za pomocą istniejącego użytkownika sudo za pomocą polecenia sudo visudo

Możesz pogrupować polecenia, którym chcesz udzielić dostępu, jak poniżej:

Cmnd_Alias SHUTDOWN_CMDS = /sbin/poweroff, /sbin/halt, /sbin/reboot
Cmnd_Alias UPDATE_COMMANDS = /usr/bin/apt-get

Następnie możesz nadać określone uprawnienia użytkownika tym poleceniom:

[User's name] ALL=(ALL) NOPASSWD: SHUTDOWN_CMDS, UPDATE_COMMANDS

Można to zobaczyć na poniższym obrazku :

Teraz, jeśli spróbujesz sudo apt-get updatelub sudo apt-get dist-upgradete polecenia będą wykonywane bez pytania o hasło . Jeśli chcesz otrzymać monit o hasło, usuń NOPASSWDbit, w którym przyznajesz użytkownikowi dostęp do grup poleceń.

Jeśli spróbujesz uruchomić cokolwiek innego jako sudoużytkownik, zostaniesz poproszony o podanie hasła i nie powiedzie się.

Bibliografia

• Ubuntu Docs - Sudoers
• Jak edytować plik Sudoers na Ubuntu i CentOS
• Przejmij kontrolę nad swoim systemem Linux | plik sudoers: jak z przykładami