1. дома
  2. Вопрос и ответ
  3. Как избежать слова sudo для выполнения более высоких привилегированных команд пользователем, не являющимся пользователем root

Как избежать слова sudo для выполнения более высоких привилегированных команд пользователем, не являющимся пользователем root

2016-06-24 1 views
1

Возможно ли избежать sudo word при выполнении команд с более высокими привилегиями для пользователя, не являющегося пользователем root, с помощью политики sudo, для которой пользователи, не являющиеся root, должны не знать, что он выполняет команды с более высокими привилегиями, а также использование sudo может быть сложным.Как избежать слова sudo для выполнения более высоких привилегированных команд пользователем, не являющимся пользователем root

Пример: Нормальное выполнение команды Судо.

$ sudo -u root /usr/bin/tcpdump

Пользователи, не являющиеся root, должны выполнить tcpdump, как показано ниже.

$ tcpdump

Заранее благодарен.

Примечание: Я определил Судовую политику для пользователей, не являющихся пользователем root. Таким образом, когда пользователь без полномочий root выполняет tcpdump, в бэкэнд он должен выполняться как sudo -u root tcpdump.

источник

2016-06-24 sach

+1

Вы можете определить 'alias tcpdump = 'sudo tcpdump''. – melpomene

+0

Вы хотите добавить псевдоним профилей пользователя bash без полномочий root? – sach

+1

Почему этот вопрос был отмечен 'perl'? – dgw

ответ

4

Да. Возможно.

Вы должны:

1- Создать новую конкретную новую группу, в которой некоторые пользователи будут принадлежать:

groupadd nonroot

2- Добавьте привилегированные пользователей в эту группу:

2.1- Редактировать/etc/group:

vim /etc/group

2.2- Поиск строка новой созданной группы. Он должен выглядеть так:

nonroot:x:127:

2.3- В конце, добавьте privilaged пользователей:

nonroot:x:127:user1,user2

3- Изменить группу вашего бинарного:

chgrp nonroot /usr/bin/tcpdump

4- Give разрешения группового исполнения для двоичного:

chmod g+x /usr/bin/tcpdump

Вы должны иметь в счетчике, что если двоичный код считывает, записывает или выполняет файлы, у которых user1 не имеет разрешений, вы измените их таким же образом.

Если вы не можете изменить группу двоичного, проверьте правильный ответ после сильфона, который является аналогичным образом:

Allow users of a certain group to run a command without sudo

Надеется, что это помогает.

ПРИМЕЧАНИЕ. Команды могут различаться между различными дистрибутивами linux/unix.

источник

2016-06-24 05:03:45 nicof

+0

ценят за ответ nicof, но это не то, что я ищу. – sach

+0

@sach - Если вы сказали нам _why_, это не тот ответ, который вы ищете, это значительно улучшит ваши шансы получить удовлетворительный ответ. –

+0

@nicof, я буду определять правила sudo для нескольких пользователей, чтобы у пользователей было разрешение на выполнение команд, определенных в политике. Мне нужен способ скрыть пользователей для ввода sudo. Таким образом, я ищу способ, которым пользователи будут просто выполнять команды без ввода sudo. – sach

0

я могу видеть, по крайней мере, две возможности:

  1. Заверните его в скрипте (псевдоним также возможно, но если пользователи могут использовать различные оболочки или просто запустить их вручную, он может превратиться в очередном обслуживание hell)

  2. Установите бит suid на tcpdump, но это означает, что каждый, кто может вызвать tcpdump, всегда делает это как владелец.

источник

2016-06-24 08:09:39 Henrik

Смежные вопросы

 Смежные вопросы