Estaba intentando limitar el comando que un usuario específico puede ejecutar en el archivo sudoers, digamos que tengo algo como esto:
dummy myserver=(ALL:ALL) /usr/sbin/reboot,/usr/sbin/shutdown
Mi usuario ficticio sólo puede reiniciar o apagar el sistema. Intencionalmente permito que el usuario ficticio se haga pasar por otros usuarios, pero cada vez que intento usar la opción -u del sudo, por ejemplosudo -u anotheruser whoami
Obtuve el siguiente error:
Sorry, user dummy is not allowed to execute '/usr/bin/whoami' as anotheruser on myserver.
Entiendo que puedo nombrar específicamente al usuario y al grupo que quiero suplantar en los sudoers, pero tengo curiosidad por saber por qué ALL:ALL no funciona.
Agradecería mucho sus respuestas.
Respuesta1
Funciona (ALL:ALL), su dummyusuario simplemente no puede ejecutarlo whoami. Deberías agregarlo /usr/bin/whoamia la lista de comandos permitidos. Su regla actual dice que dummyse puede ejecutar /usr/sbin/rebooto /usr/sbin/poweroffcomocualquierusuario ycualquiergrupo. Puedes llamar sudo -u anotheruser /usr/sbin/reboot, si no reinicias el sistema no tendrá nada que ver consudo.
Además, probablemente no haya /usr/sbin/rebootarchivos /usr/sbin/poweroffejecutables en su sistema. Estos son comandos esenciales, por lo que deberían estar en formato /sbin.
Resumiendo: su /etc/sudoersarchivo debe contener una línea como esta:
dummy myserver=(ALL:ALL) /sbin/reboot, /sbin/poweroff, /usr/bin/whoami