Cho phép một số khách thực hiện các lệnh nhất định

Tôi muốn tạo một người dùng mới trên một số máy chủ Debian / Ubuntu có thể cập nhật máy chủ bằng các lệnh apt-get updatevà apt-get dist-upgrade, nhưng tôi sẽ không cung cấp cho họ quyền truy cập sudo đầy đủ để có thể làm bất cứ điều gì khác. Điều này có thể không? Có lẽ có một cách để tạo một tập lệnh mà họ không thể chỉnh sửa nhưng có thể thực thi, sẽ được thực thi với tư cách là người dùng root?

Sudovà /etc/sudoerstập tin không chỉ để cấp cho người dùng quyền truy cập root đầy đủ.

Bạn có thể chỉnh sửa tệp sudoers với người dùng sudo hiện có, bằng lệnh sudo visudo

Bạn có thể nhóm các lệnh mà bạn muốn cấp quyền truy cập như dưới đây:

Cmnd_Alias SHUTDOWN_CMDS = /sbin/poweroff, /sbin/halt, /sbin/reboot
Cmnd_Alias UPDATE_COMMANDS = /usr/bin/apt-get

Sau đó, bạn có thể cung cấp một đặc quyền người dùng cụ thể cho các lệnh như vậy:

[User's name] ALL=(ALL) NOPASSWD: SHUTDOWN_CMDS, UPDATE_COMMANDS

Điều này có thể được nhìn thấy trong hình dưới đây :

Bây giờ nếu bạn thử sudo apt-get updatehoặc sudo apt-get dist-upgradecác lệnh đó sẽ thực thi mà không yêu cầu mật khẩu . Nếu bạn muốn được nhắc nhập mật khẩu, hãy xóa NOPASSWDbit nơi bạn cấp quyền truy cập cho người dùng vào các nhóm lệnh.

Nếu bạn cố chạy bất cứ thứ gì khác với tư cách là sudongười dùng, bạn sẽ được nhắc nhập mật khẩu và không thành công.

Tài liệu tham khảo

• Ubuntu Docs - Sudoers
• Cách chỉnh sửa tệp Sudoers trên Ubuntu và CentOS
• Kiểm soát Linux của bạn | tập tin sudoers: Làm thế nào với ví dụ