允许用户运行带有参数的命令（其中包含空格）

我想允许一个用户运行grep（通过sudo），并在一个特定文件中为一个特定字符串进行grep。我不想让该用户能够在所有文件上运行grep。用户没有对该文件的读取访问权限，因此需要使用sudo。我正在尝试编写nagios检查，以检查计算机上另一项服务的日志文件。

但是它不起作用，sudo不断要求输入密码。

我的命令是：（sudo grep "string I want (" /var/log/thefilename.log是的，(我要grep的字符串中有一个原始字符和一些空格）

/etc/sudoers.d/user-can-grep 具有以下内容：

user ALL=(root) NOPASSWD: /bin/grep "string I want (" /var/log/thefilename.log

此sudoers文件由拥有root:root并拥有权限-r--r-----

该服务器是Ubuntu Trusty 14.04.3 LTS。

我该如何进行这项工作？

显然，在将命令与sudoers文件中的规范进行比较之前，sudo将命令展平为字符串。因此，就您而言，您无需使用引号或任何其他转义形式：

user ALL=(root) NOPASSWD: /bin/grep string I want ( /var/log/thefilename.log

编辑：正如@ user23013在注释中指出的那样，此文件可被利用来对grep表示任何文件中的“我想要的字符串”（并且通过扩展名，还表示“字符串I”和“字符串”。）请在使用之前仔细考虑使用sudo的参数检查！

另请注意，以下调用是等效的，即您将无法将用户限制为一个特定的表示形式：

sudo grep "string I want (" /var/log/thefilename.log
sudo grep 'string I want (' /var/log/thefilename.log
sudo grep string\ I\ want\ \( /var/log/thefilename.log

这是由于以下事实：引号和转义由shell处理，并且永远不会到达sudo。

1. 编写脚本（只能由root编写）
2. 在该脚本中，执行grep您需要的
3. 在sudoers配置中，仅允许访问该脚本
4. 配置任何工具或建议任何用户通过sudo运行脚本

调试起来容易得多，锁定特定文件的特定访问权限也容易得多，利用起来也更加困难。

既然你只需要根文件访问，请考虑使用cat，tee或相似，管道，要的东西grep，你需要或任何程序运行。例如，通过sudo cat /file/path | grep …这种方式，您可以将root限制在绝对需要的地方。

sudo很棒，但有时并非最合适。为此，我喜欢使用super。super还允许提升的权限，但是它采用命令别名，这在允许复杂命令行时非常方便，因为它们被用作简单命令行。

您的super.tab如下所示：

grepcmd "grep 'string I want (' /var/log/thefilename.log" user

并以调用super grepcmd。