我需要在Debian Linux机器上允许单个用户使用特定命令。我已经在/etc/sudoers文件中尝试过此操作:
# User privilege specification
zabbix ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'
这不能按预期方式工作。如果我使用sudo以用户zabbix的身份运行命令,它将要求输入密码(尽管我已指定了该NOPASSWD选项)。
但是,这可行:
# User privilege specification
zabbix ALL=NOPASSWD: /usr/bin/apt-get
但有缺点,即所有的子命令apt-get是allowd。有一种方法可以解决此问题,使其仅允许特定命令吗?
Answers:
我不同意莱恩。尽管可以awk运行,但是您无需以root身份运行。我对此不太满意,因为您可能会以awk某种方式进行攻击。毕竟,它是一个完整的编程语言解释器。
当一个运行时sudo /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}',它们实际上正在运行sudo /usr/bin/apt-get --print-uris -qq -y upgrade,然后作为主叫用户进行管道传输/重定向。
尝试这个: zabbix ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade
顺便说一句,将其放入脚本中并没有问题,就像lain一样,您仍然可以这样做。如果可能,我只会避免以root身份运行awk。
您可能对重定向与sudo交互的方式感到犯规。重定向是在主叫用户而非特权用户处执行的。将命令包装在脚本中然后让zabbix用户运行该脚本可能会更容易一些,例如
#!/bin/bash
/usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'
设置为
zabbix ALL=NOPASSWD: /path/to/script
现在,整个脚本将以特权用户身份运行,而不仅仅是特定的apt-get命令。但是请确保zabbix用户无法写入脚本。