現在、複数のサーバーでコマンドを自動的に実行できるアプリケーションを開発しています。
サービス構成を変更する場合は、サービスを再起動 (または再読み込み) する必要があるため、一部のコマンドにはルート権限が必要です。これを機能させるために、ユーザーのパスワードを暗号化してテキスト ファイルに保存し、sudo コマンド中に使用しています。これは大きな脅威であると考えていますが、アプリケーションをルート権限で実行したくありませんでした。
何か案は?
答え1
ユーザーが実行できるコマンドを制限することができます須藤また、パスワードなしオプションsudo ユーザ暗号化されたパスワード「機能」を使用する代わりに、そのユーザーのコンテキストでファイルを実行します。
権限のないユーザーが再起動を発行できるようにする例を次に示します。iptablesサービス:
geewid ALL = (root) NOPASSWD: /sbin/service iptables restart, /sbin/service iptables reload
コマンド リストはコンマで区切られています...
また、コマンドエイリアス特徴:
Cmnd_Alias FOOBAR = /sbin/service iptables restart, /sbin/service iptables reload
geewid ALL = (root) NOPASSWD: FOOBAR