foobar그룹의 일반 사용자로서 사용자가 실행 도구 사용자의 암호를 알고 있는 경우 관리자가 아닌 다른 사용자(예: ) 로서 명령을 users실행할 수 있기를 원합니다 . 예를 들어 다음이 가능해야 합니다.sudoraboof:usersfoobar
$ sudo -u raboof echo Hello World!
[sudo] Password for raboof:
$ sudo -g users echo Hello World!
$ sudo -u raboof -g users Hello World!
그러나 위의 두 번째 및 세 번째 변형의 경우 sudo실행을 거부합니다 .echo Hello World!
sudo표준 플러그인을 다음과 같이 구성했습니다 sudoers.
User_Alias USER_ADMIN = #0, %#0, %wheel
Runas_Alias RUNAS_ADMIN = #0, %#0, %wheel
User_Alias USER_USER = ALL, !USER_ADMIN
Runas_Alias RUNAS_USER = ALL, !RUNAS_ADMIN
Defaults:USER_USER targetpw
USER_ADMIN ALL = (ALL:ALL) ALL
USER_USER ALL = (RUNAS_USER:RUNAS_USER) ALL
원하는 방식으로 작동하려면 sudo플러그인을 어떻게 구성해야 합니까 ?sudoers
답변1
위 정의의 표현에 대해 많은 고민 끝에 관리자가 아닌 사용자(예: )로 Runas_Alias호출하는 세 가지 조합 모두에 대해 실제로 작동하는 다음 구성을 생각해 냈습니다 .sudoraboof:users
User_Alias USER_USER = ALL, !#0, !%#0, !%wheel
Runas_Alias RUNAS_USER_USER = ALL, !#0, !%#0, !%wheel
Runas_Alias RUNAS_USER_GROUP = ALL, !#0, !wheel
Defaults:USER_USER targetpw
USER_USER ALL = (RUNAS_USER_USER:RUNAS_USER_GROUP) ALL
foobar $ sudo -u raboof id
uid=1000(raboof) gid=100(users) groups=100(users)
foobar $ sudo -g users id
uid=1000(foobar) gid=100(users) groups=100(users)
foobar $ sudo -u raboof -g users id
uid=1000(raboof) gid=100(users) groups=100(users)
다음과 같이 이전에 정의된 정의를 중첩하고 부정하는 것은 Runas_Alias알 수 없는 이유로 작동하지 않았습니다.
Runas_Alias RUNAS_ADMIN_USER = #0, %#0, %wheel
Runas_Alias RUNAS_ADMIN_GROUP = #0, wheel
Runas_Alias RUNAS_USER_USER = ALL, !RUNAS_ADMIN_USER
Runas_Alias RUNAS_USER_GROUP = ALL, !RUNAS_ADMIN_GROUP