linux – 在没有sudo的情况下向非root用户授予一组命令的访问权限

前端之家收集整理的这篇文章主要介绍了linux – 在没有sudo的情况下向非root用户授予一组命令的访问权限前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想给我的机器上的非root用户提供非sudo访问权限,有一个用户dns-manager,他唯一的角色是运行所有BIND命令(rndc,dnssec-keygen)等.

现在每次他必须运行一个命令,他打字,

sudo rndc reload

有没有办法可以摆脱这个sudo,但只能在一组特定的命令上(并且只针对dns-manager)?

解决方法

如果我正确理解您的评论,那么这里的问题是该命令将通过无法输入sudo默认请求的密码的连接发出.此外,在许多操作系统发行版中,sudo默认需要TTY – 该程序可能没有.

但是,sudo能够具有非常细粒度的权限结构,从而允许一个或多个用户在没有密码和TTY的情况下发出一个特定命令.下面,我将展示三种方法来根据您的需求进行配置.无论您选择哪一个,用户现在都可以发出命令sudo rndc reload而无需输入密码.

(此外,这可能是不必要的,但是……请记住在编辑之前制作你的sudoers文件的备份副本,以便在你需要恢复备份的情况下保留一个你打开root的shell,并编辑它使用visudo而不是sudo vi / etc / sudoers.希望这些预防措施是不必要的,但是……更好地拥有它们而不需要它们而不是相反!)

1.如果您不想要求任何TTY请求

摆脱TTY要求(如果存在)的最简单方法是确保以/ etc / sudoers中的Defaults开头的行不包含requiretty一词 – 相反,它应该包含!requiretty.但是,如果你这样做,这意味着没有sudo命令将需要tty!

您还需要添加该行

rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload,/path/to/dnssec-keygen,/path/to/other/program

2.如果要为除此之外的所有用户要求TTY

这可以通过为这一个用户设置默认值来完成,如下所示:

Defaults:rndcuser        !requiretty
rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload,/path/to/other/program

3.如果要为这一个用户请求除此一个命令之外的所有命令的TTY

由于sudoers文件的语法,这有点复杂.您需要为该命令创建命令别名,然后为该命令别名设置默认值,如下所示:

Cmnd_Alias RNDC_CMD = /path/to/rndc reload,/path/to/other/program
Defaults!RNDC_CMD !requiretty
rndcuser ALL = (root) NOPASSWD: RNDC_CMD

猜你在找的Linux相关文章