我想给我的机器上的非root用户提供非sudo访问权限,有一个用户dns-manager,他唯一的角色是运行所有BIND命令(rndc,dnssec-keygen)等.
现在每次他必须运行一个命令,他打字,
sudo rndc reload
有没有办法可以摆脱这个sudo,但只能在一组特定的命令上(并且只针对dns-manager)?
解决方法
如果我正确理解您的评论,那么这里的问题是该命令将通过无法输入sudo默认请求的密码的连接发出.此外,在许多操作系统发行版中,sudo默认需要TTY – 该程序可能没有.
但是,sudo能够具有非常细粒度的权限结构,从而允许一个或多个用户在没有密码和TTY的情况下发出一个特定命令.下面,我将展示三种方法来根据您的需求进行配置.无论您选择哪一个,用户现在都可以发出命令sudo rndc reload而无需输入密码.
(此外,这可能是不必要的,但是……请记住在编辑之前制作你的sudoers文件的备份副本,以便在你需要恢复备份的情况下保留一个你打开root的shell,并编辑它使用visudo而不是sudo vi / etc / sudoers.希望这些预防措施是不必要的,但是……更好地拥有它们而不需要它们而不是相反!)
1.如果您不想要求任何TTY请求
摆脱TTY要求(如果存在)的最简单方法是确保以/ etc / sudoers中的Defaults开头的行不包含requiretty一词 – 相反,它应该包含!requiretty.但是,如果你这样做,这意味着没有sudo命令将需要tty!
您还需要添加该行
rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload,/path/to/dnssec-keygen,/path/to/other/program
2.如果要为除此之外的所有用户要求TTY
这可以通过为这一个用户设置默认值来完成,如下所示:
Defaults:rndcuser !requiretty rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload,/path/to/other/program
3.如果要为这一个用户请求除此一个命令之外的所有命令的TTY
由于sudoers文件的语法,这有点复杂.您需要为该命令创建命令别名,然后为该命令别名设置默认值,如下所示:
Cmnd_Alias RNDC_CMD = /path/to/rndc reload,/path/to/other/program Defaults!RNDC_CMD !requiretty rndcuser ALL = (root) NOPASSWD: RNDC_CMD
