是否可以使用 sudo 或其他機制來允許使用者只能存取另一個特定使用者帳戶下運行的命令? (即不是root?)
我必須透過在無 shell 帳戶 www-data 下執行的 Web 工具提供某種程度的管理存取權。但有時,能夠將程式作為「www-data」運行以在 Web 伺服器上執行管理工作可能會很有用。我不知道如何允許這一點,同時限制他們對根或其他服務的存取。
答案1
是的 - 可以使用 來做到這一點sudo。從sudoers手冊頁:
A Runas_Spec sets the default for the commands that follow it. What this
means is that for the entry:
dgb boulder = (operator) /bin/ls, /bin/kill, /usr/bin/lprm
The user dgb may run /bin/ls, /bin/kill, and /usr/bin/lprm—but only as
operator.