但是,不要以非root用户可以编辑或覆盖的root身份运行脚本.这适用于从cron运行的作业以及交互式运行的作业.

如果该脚本包含同样适用于它们的其他文件.

如有疑问,请始终使用最小特权原则.如果您仍然不确定,您可以随时在论坛和IRC中提出具体问题.

(几乎)总有一种方法可以作为非root用户运行.如果所有其他方法都无法使用sudo将用户限制为特定命令,那么也会限制潜在的危害.

因此,对于备份/ etc / apache2 / sites-available的示例,任何人都可以读取该文件,因此这意味着它只能访问root用户可写的目标.

你可以解决这个问题

>创建一个名为backupadmins的组(例如)>将目标目录中的组设置为backupadmins>添加一个名为backupuser的用户(例如)>将用户backupuser添加到组backupadmins.>使backupadmins组可写入目录>从backupuser的crontab运行cron作业.