Início / unix / Perguntas / 504806
Accepted
Stewart
Asked: 2019-03-07 13:19:12 +0800 CST

systemd inicia como usuário sem privilégios em um grupo

  • 772

Eu gostaria que os usuários do grupo foogrouppudessem:

  • systemctl start foo.service,
  • systemctl stop foo.service,
  • systemctl status foo.service, e
  • journalctl -u foo.service

sem usar privilégios elevados. Isso é possível?

Eu tenho um serviço systemd que se parece com:

[Unit]
Description=foo service

[Service]
Type=simple
ExecStart=/bin/sleep infinity
User=foobot
Group=foogroup

Onde fooboté um usuário do sistema.

Eu sei que podemos instalar o arquivo de unidade ~/.config/systemd/user/para permitir que um usuário sem privilégios use o systemd, mas isso realmente não ajuda um grupo.

Nota: Eu planejo usar a API sd-buslibsystem-dev do cockpit , então adicionar systemctlnão /etc/sudoersvai ajudar.

Eu não me importo muito com systemctl enableisso, tudo bem se eu precisar de privilégios elevados para isso.

systemd non-root-user

2 respostas

  1. Best Answer

    Esta foi a solução que finalmente encontrei. Eu criei:

    /etc/polkit-1/localauthority/50-local.d/service-auth.pkla
---
[Allow foogroup to start/stop/restart services]
Identity=unix-group:foogroup
Action=org.freedesktop.systemd1.manage-units
ResultActive=yes

    Observe que isso funciona especificamente para o polkit <106 usado no Debian/Ubuntu. Outras distribuições usam uma versão mais recente do polkit que teria feito algo assim:

    /etc/polkit-1/rules.d/foogroup.rules
---
polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.systemd1.manage-units" &&
        subject.isInGroup("foogroup")) {
        return polkit.Result.YES;
    } });

    Se você quiser restringi-lo a um único serviço e apenas iniciar/parar/reiniciar, use algo assim:

    polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.systemd1.manage-units" &&
        subject.isInGroup("foogroup")) {
        if (action.lookup("unit") == "foo.service") {
            var verb = action.lookup("verb");
            if (verb == "start" || verb == "stop" || verb == "restart") {
                return polkit.Result.YES;
            }
        }
    }
});

    (de https://wiki.archlinux.org/title/Polkit )

    • 3

  2. Eu estava procurando uma solução para o mesmo e não consegui encontrar uma que realmente me satisfaça. Uma solução satisfatória seria ter suporte de grupo em systemd. Mas encontrei esta solução. Vamos supor que os usuários aos quais você deseja conceder acesso sejam ann, bene chris. Eles estão todos devem estar em um grupo awesomeproject.

    1. Crie um novo usuário awesomeprojecte adicione os usuários ao grupo de awesomeproject.
    sudo adduser awesomeproject
sudo usermod -a -G awesomeproject ann
sudo usermod -a -G awesomeproject ben
sudo usermod -a -G awesomeproject chris
    1. Adicione todos os usuários do grupo aos sudoers systemctldesse novo usuário.
    sudo visudo

    As entradas devem ficar assim:

    ann    ALL=(awesomeproject) NOPASSWD: /bin/systemctl
ben    ALL=(awesomeproject) NOPASSWD: /bin/systemctl
chris  ALL=(awesomeproject) NOPASSWD: /bin/systemctl

    Em vez de colocá-los em /etc/sudoers, dependendo da distribuição, pode ser melhor colocá-los /etc/sudoers.d/awesomeprojectusando sudo visudo -f /etc/sudoers.d/awesomeproject.

    1. Gerencie permissões em arquivos e diretórios de acordo para que os membros do grupo awesomeprojecttenham acesso aos arquivos e diretórios correspondentes no formato ~awesomeproject.

    2. O comando a seguir deve agora funcionar para ann, bene chris:

    sudo awesomeproject systemctl ...
    • 2

relate perguntas