Bezpieczeństwo stosowania tej linii w visudo: twojaUSERname ALL = (otherUSERaccount) NOPASSWD: ALL

1

Konfiguruję ograniczone konta w mojej wersji arch linux, aby uruchamiać zastrzeżone oprogramowanie, takie jak gry lub pliki binarne systemu Windows. Te ograniczone konta nie będą miały dostępu do odczytu / zapisu w moich folderach osobistych ani żadnych innych obszarach mojego systemu operacyjnego, które uznałem za wrażliwe.

Używałbym następującego polecenia do uruchamiania aplikacji jako użytkownik ograniczony:

bash -c 'xhost +local:steam;sudo -u steam -H steam /home/limited.users/steam'

Wymagałoby to oczywiście wprowadzenia hasła sudo za każdym razem, gdy uruchamiam coś jako użytkownicy z ograniczeniami.

Próbując znaleźć sposób, aby ustawić hasło zawsze, natrafiłem na ten artykuł, który próbował zrobić dokładnie to samo, co ja:

Jak uruchomić Spotify i Wine na osobnym koncie użytkownika

W sekcji Zezwalaj swojemu własnemu konto użytkownika na uruchamianie poleceń w ramach konta wina , sugeruje edycję visudo i dodanie następującego wiersza na końcu:

jego przykład:

bob ALL=(wine) NOPASSWD: ALL

bardziej ogólnie:

yourUSERname ALL=(theACCOUNTyourTRYINGrunUNDER) NOPASSWD: ALL

Perspektywa uruchamiania aplikacji jako inny użytkownik z mniejszymi uprawnieniami niż moje własne konto bez PW jest dla mnie nieszkodliwa. Biorąc to pod uwagę, nie bardzo rozumiem Visudo i chciałem wiedzieć, czy ta linia zrobi coś innego?

thebunnyrules
źródło

Odpowiedzi:

2

Próbować

bob ALL=(wine) NOPASSWD: /home/limited.users/steam

kluczową kwestią jest to, że możesz zastąpić ALLoddzieloną przecinkami listę dozwolonych poleceń.

Pamiętaj, że jeśli istnieją inne wpisy bobbez NOPASSWD, reguły bez NOPASSWDmogą wymagać pierwszeństwa .

Archemar
źródło