sudoers - yêu cầu giải thích đơn giản

Bất cứ khi nào tôi muốn có thể chạy một cái gì đó đòi hỏi tôi phải sudoerquá nhiều lần, tôi cần google để định dạng /etc/sudoersđể nhắc lại cho tôi chính xác cách viết chính xác là gì.

Bây giờ tôi thấy các kiểu viết khác nhau trong sudoerstệp của mình , đó là hệ quả của các kết quả google khác nhau qua các tháng. Tôi cũng nhận thấy rằng ví dụ thứ hai (bên dưới) dường như hoạt động trong XFCE, nhưng không phải trong Cinnamon (Gnome 3). Điều này có thể hoàn toàn không liên quan, nhưng tôi không muốn biết một lần và mãi mãi, ngữ pháp chính xác của dòng sudoer là gì và sự khác biệt giữa các ví dụ đã cho là gì?

1. redsandro ALL=NOPASSWD:/path/to/command
2. redsandro ALL=(ALL) NOPASSWD:/path/to/command
3. redsandro ALL=(ALL:ALL) NOPASSWD:/path/to/command

Ngoài ra, tất cả những gì ALLđể làm gì? Một người dùng, một lệnh, nhưng tôi cần sử dụng ALLtừ khóa tối đa ba lần? Tôi đang làm điều này sai?

Tất nhiên, bỏ qua NOPASSWD:làm cho bạn nhập mật khẩu của bạn trước khi bạn được phép chạy lệnh, nhưng có một điểm của sự nhầm lẫn là việc sử dụng =và :, đối với lệnh cuối cùng mà là đối tượng của các dòng có thể được thêm vào phía trước bởi một trong hai =, :, , hay ), ngữ pháp khó hiểu cho ngữ nghĩa tương tự.

Đó không chỉ là người dùng và lệnh:

redsandro host=(user:group) tag:commands

• hostchỉ định tên máy chủ lưu trữ dòng này là hợp lệ cho. Trừ khi bạn đang chia sẻ tệp asudo giữa các máy chủ khác nhau cần các quy tắc khác nhau bằng cách sử dụng giá trị đặc biệt ALLcó nghĩa là "tất cả máy chủ" là một lựa chọn tốt.

• userchỉ định người dùng nào bạn có thể sử dụng với các -utùy chọn để chạy lệnh. Nếu bạn bỏ qua điều này, bạn không thể sử dụng -utùy chọn.

• groupchỉ định những nhóm bạn có thể sử dụng với các -gtùy chọn. Nếu bạn bỏ qua nó, bạn không thể sử dụng -gtùy chọn.

Cả hai uservà grouphiểu giá trị đặc biệt ALLlà "tất cả người dùng / nhóm"

Nếu bạn bỏ qua toàn bộ (user:group)thứ bạn không thể sử dụng -uvà -gchỉ chạy lệnh dưới dạng root.

• tag cho phép bạn chỉ định một số tùy chọn, như NOPASSWD

Vì vậy, với ví dụ đầu tiên của bạn, bạn có thể chạy lệnh với quyền root nhưng không thể sử dụng -uvà -gđể chạy nó như bất kỳ người dùng hoặc nhóm nào khác.

Với ví dụ 2. bạn có thể chạy lệnh dưới quyền root hoặc sử dụng -uđể chạy nó như bất kỳ người dùng nào khác.

Với 3. bạn có thể chạy lệnh dưới quyền root hoặc sử dụng -uhoặc -gđể chạy lệnh như bất kỳ người dùng hoặc nhóm nào khác.

Chúng ta hãy tách cái này ra:
redsandro ALL=(ALL:ALL) NOPASSWD:/path/to/command

redsandro là tên người dùng chúng tôi cho phép. Đặt một% ở phía trước để làm cho nó áp dụng cho một nhóm.

TẤT CẢ là một tên cho quy tắc này. Sudoers có thể làm nhiều hơn là chỉ cấp quyền toàn cầu. Đó là nơi nó trở nên phức tạp.

= không cần giải thích

TẤT CẢ: TẤT CẢ đọc là (who_to_run_it_as: what_group_to_run_it_as). Bằng cách này, bạn có thể cho phép chạy một lệnh, nhưng chỉ trong ngữ cảnh của một người dùng hoặc nhóm cụ thể.

NOPASSWD: bảo nó tắt lời nhắc mật khẩu.

/ path / to / lệnh cho phép bạn chỉ định các lệnh cụ thể path_to_commmand, Another_command

Điều cần nhớ là trong khi sudo chủ yếu được người dùng gia đình sử dụng để nâng cấp lên quyền root, nó có thể và được sử dụng để kiểm soát truy cập vào các lệnh cụ thể theo cách chi tiết hơn nhiều.