我在无头的Linux机器上运行私人游戏服务器。因为我不是一个白痴,所以说服务器以其自己的非特权用户身份运行,它具有下载更新和修改世界数据库所需的最低限度访问权限。
我还创建了一个systemd单位文件,以在需要时正确启动,停止和重新启动服务器(例如,进行上述更新)。
但是,要真正打电话systemctl或service <game> start/stop/restart我仍然需要以root或有sudo能力的用户身份登录。
有没有办法告诉systemd,对于该<game>服务,gamesrv允许无特权的用户运行启动/停止/重新启动命令?
Answers:
我可以想到两种方法:
一种是通过使服务成为用户服务而不是系统服务。
代替创建系统单元,将systemd单元放置在服务用户的主目录下$HOME/.config/systemd/user/daemon-name.service。然后同一个用户可以管理服务与systemctl --user <action> daemon-name.service。
为了允许用户单元在启动时启动,root用户必须为该帐户启用linger,即sudo loginctl enable-linger username。单位也必须是WantedBy=default.target。
另一种方法是允许用户访问通过PolicyKit管理系统单元。这需要systemd 226或更高版本(对于JavaScript Rules.d文件,PolicyKit> = 0.106 –选中pkaction --version)。
您将创建一个新的PolicyKit配置文件,例如/etc/polkit-1/rules.d/57-manage-daemon-name.rules,该文件检查您要允许的属性。对于例如:
// Allow alice to manage example.service;
// fall back to implicit authorization otherwise.
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.systemd1.manage-units" &&
action.lookup("unit") == "example.service" &&
subject.user == "alice") {
return polkit.Result.YES;
}
});
然后,指定的用户可以使用systemctl和不使用来管理命名的服务sudo。
loginctl工作。
sudo为此。使用编辑您的/etc/sudoers文件,以为您希望非特权用户能够使用的命令visudo添加一个Cmd_alias:
# game server commands
Cmnd_Alias GAME_CMDS = /usr/bin/systemctl start <game service>, /usr/bin/systemctl stop <game service>
并添加一行以允许非特权用户使用别名定义的命令,如下所示:
unprivileged_user ALL=(ALL) NOPASSWD: GAME_CMDS
阅读有关该主题的更多文档,以获取sudo命令的各种参数。
您可能需要安装sudo软件包才能sudo在系统上使用。
systemd单位文件要做的第一件事就是指定它需要以方式运行gamesrv。
您可以sudo提供与等效的访问权限root,但也可以用于允许特定用户的root用户访问特定的有限命令集。
在服务器故障上,如何解决此问题,请参见[ 将命令集授予非root用户而不使用sudo,而将命令集授予非root用户而不使用sudo。
使用PolicyKit仍然不常见。使用系统化的“用户单元”应该可以正常工作,但是从历史上看,sudo通过允许用户以root用户身份运行特定命令的能力,您的目标已经达到了很多次。