Início / computer / Perguntas / 1589696
Accepted
j4nd3r53n
Asked: 2020-10-01 02:33:38 +0800 CST

Deixe um único usuário executar um comando sem a senha sudo

  • 772

Já pesquisei e encontrei muitas respostas para isso, mas ainda não consigo fazê-lo funcionar. Isso está em um sistema debian 9 - criei um alias e uma função shell no perfil:

alias lscron='sudo crontab -u biuser -l'

function edcron
{
  lckf=~biuser/edcron
  if [[ -f $lckf ]]
  then
    echo $(cat $lckf) is editing
  else
    echo $(id -nu) > $lckf
    sudo crontab -u biuser -e
    rm $lckf
  fi
}

Eles funcionam como esperado, mas pedem senha. Quero dar a alguns usuários acesso para executar esses comandos sem senha, então adicionei algo assim a /etc/sudoers:

analytics root = cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

some.user ALL = NOPASSWD: /usr/bin/crontab -u biuser -e, /usr/bin/crontab -u biuser -l

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Não recebo nenhum erro, mas pede senha; como faço para funcionar?

Editar

Matching Defaults entries for some.user on analytics:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User some.user may run the following commands on analytics:
    (ALL : ALL) ALL
    (root) NOPASSWD: /usr/bin/crontab -u biuser -e, /usr/bin/crontab -u biuser -l
    (ALL : ALL) ALL
sudo sudoers

1 respostas

  1. Best Answer

    Quando várias entradas correspondem a um usuário, elas são aplicadas em ordem. Onde houver várias correspondências, a última correspondência será usada (que não é necessariamente a correspondência mais específica).

    ( fonte )

    No seu caso, o último (ALL : ALL) ALLna saída de sudo -l"ganha".

    Após a NOPASSWDlinha, sudoersnão há explícito (ALL : ALL) ALL, mas há #includedir. Isto não é um comentário . Deve haver (ALL : ALL) ALLalgum arquivo /etc/sudoers.dque corresponda a some.user.

    Seu objetivo é não ter (ALL : ALL) ALLapós a NOPASSWDlinha na saída de sudo -l -U some.user. Então sua configuração funcionará.

    Você pode resolver o problema sem alterar os arquivos sudoers.dcolocando a NOPASSWDlinha após #includedir. Desta forma, sempre que a linha coincidir, será a última correspondência com certeza.

    • 2

relate perguntas