Ich habe versucht, den Befehl einzuschränken, den ein bestimmter Benutzer in der Sudoers-Datei ausführen kann. Angenommen, ich habe so etwas:
dummy myserver=(ALL:ALL) /usr/sbin/reboot,/usr/sbin/shutdown
Mein Dummy-Benutzer darf das System nur neu starten oder herunterfahren. Ich erlaube dem Dummy-Benutzer absichtlich, sich als andere Benutzer auszugeben, aber jedes Mal, wenn ich versuche, die Option -u des sudo zu verwenden, z. B.sudo -u anotheruser whoami
Ich erhalte die folgende Fehlermeldung:
Sorry, user dummy is not allowed to execute '/usr/bin/whoami' as anotheruser on myserver.
Ich verstehe, dass ich den Benutzer und die Gruppe, die ich imitieren möchte, in den Sudoers gezielt aufrufen kann, aber ich frage mich, warum ALL:ALL nicht funktioniert.
Ich würde mich sehr über Ihre Antworten freuen.
Antwort1
Das (ALL:ALL)funktioniert, Ihr dummyBenutzer darf nur nicht ausführen whoami. Sie sollten /usr/bin/whoamidie Liste der zulässigen Befehle ergänzen. Ihre aktuelle Regel besagt, dass dummyausgeführt werden kann /usr/sbin/rebootoder /usr/sbin/poweroffalsbeliebigBenutzer undbeliebigGruppe. Sie dürfen anrufen sudo -u anotheruser /usr/sbin/reboot, das Scheitern des Neustarts des Systems hat nichts damit zu tunsudo.
Darüber hinaus sind auf Ihrem System wahrscheinlich keine ausführbaren Dateien /usr/sbin/rebootund vorhanden /usr/sbin/poweroff. Dies sind wichtige Befehle, daher sollten sie in enthalten sein /sbin.
Zusammenfassend: Ihre /etc/sudoersDatei sollte eine Zeile wie diese enthalten:
dummy myserver=(ALL:ALL) /sbin/reboot, /sbin/poweroff, /usr/bin/whoami