Início / server / Perguntas / 841099
Accepted
Shadur
Asked: 2017-03-29 09:24:11 +0800 CST

systemd: Concede permissão a um usuário sem privilégios para alterar um serviço específico

  • 772

Estou executando um servidor de jogo privado em uma caixa linux sem cabeça. Como não sou idiota, esse servidor está sendo executado como seu próprio usuário sem privilégios, com os direitos de acesso mínimos necessários para baixar atualizações e modificar o banco de dados mundial.

Também criei um arquivo de unidade systemd para iniciar, parar e reiniciar o servidor corretamente quando necessário (para as referidas atualizações, por exemplo).

No entanto, para realmente ligar systemctlou service <game> start/stop/restartainda preciso fazer login como root ou um sudousuário capaz.

Existe uma maneira de dizer ao systemd que, para o <game>serviço, o usuário não privilegiado gamesrvtem permissão para executar os comandos start/stop/restart?

linux

3 respostas

  1. Best Answer

    Eu posso pensar em duas maneiras de fazer isso:

    Uma delas é tornar o serviço um serviço de usuário em vez de um serviço de sistema.

    Em vez de criar uma unidade de sistema, a unidade systemd será colocada no diretório inicial do usuário do serviço, em $HOME/.config/systemd/user/daemon-name.service. O mesmo usuário pode então gerenciar o serviço com systemctl --user <action> daemon-name.service.

    Para permitir que a unidade do usuário inicie na inicialização , o root deve habilitar linger para a conta, ou seja, sudo loginctl enable-linger username. A unidade também deve ser WantedBy=default.target.

    A outra maneira é permitir o acesso do usuário para gerenciar a unidade do sistema por meio do PolicyKit. Isso requer systemd 226 ou superior (e PolicyKit >= 0,106 para os arquivos rules.d do JavaScript – verifique com pkaction --version). Observe que o Debian reteve deliberadamente o PolicyKit para uma versão 0.105 de quase uma década que não suporta essa funcionalidade, aparentemente por causa da opinião pessoal de uma pessoa , e nem ele nem as distribuições derivadas dele (como o Ubuntu) podem usar esse método.

    Você criaria um novo arquivo de configuração do PolicyKit, por exemplo, /etc/polkit-1/rules.d/57-manage-daemon-name.rulesque verifica os atributos que você deseja permitir. Por exemplo :

    // Allow alice to manage example.service;
// fall back to implicit authorization otherwise.
polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.systemd1.manage-units" &&
        action.lookup("unit") == "example.service" &&
        subject.user == "alice") {
        return polkit.Result.YES;
    }
});

    O usuário nomeado pode então gerenciar o serviço nomeado com systemctle sem usar sudo.

    • 71

  2. sudoé feito para isso. Edite seu /etc/sudoersarquivo visudopara adicionar um Cmd_aliaspara os comandos que você deseja que o usuário sem privilégios possa usar:

    # game server commands
Cmnd_Alias GAME_CMDS = /usr/bin/systemctl start <game service>, /usr/bin/systemctl stop <game service>

    e adicione uma linha para permitir que o usuário sem privilégios use os comandos definidos com o alias como este:

    unprivileged_user ALL=(ALL) NOPASSWD: GAME_CMDS

    Leia mais algumas documentações sobre o tópico para os vários parâmetros do comando sudo.

    Pode ser necessário instalar o sudopacote para sudodisponibilizá-lo em seu sistema.

    • 28

  3. Você pode associar sudoo fornecimento de acesso equivalente a root, mas também pode ser usado para permitir que um usuário root específico acesse um conjunto específico e limitado de comandos.

    Como fazer isso já foi respondido em Server Fault, em [ Ging access of a set of commands to a non-root user without sudo access of a set of commands to a non-root user without sudo).

    O uso do PolicyKit ainda é incomum. O uso de uma "unidade de usuário" systemd deve funcionar bem, mas historicamente seu objetivo foi alcançado muitas vezes usando a capacidade de sudopermitir que um usuário execute comandos específicos como root.

    • 2

relate perguntas