sudo없이 루트가 아닌 사용자에게 명령 세트에 대한 액세스 권한 부여

내 컴퓨터의 루트가 아닌 사용자에게 sudo가 아닌 액세스 권한을 부여하고 싶습니다. 사용자 dns-manager가 있으며 그의 유일한 역할은 모든 BIND 명령 (rndc, dnssec-keygen) 등을 실행하는 것입니다.

이제 명령을 실행할 때마다 다음과 같이 입력합니다.

sudo rndc reload

이 sudo를 제거 할 수있는 방법이 있습니까?하지만 특정 명령 세트에서만 (dns-manager 전용)?

귀하의 의견을 올바르게 이해하면 여기서 문제는 sudo 기본값으로 요청하는 비밀번호를 입력 할 수있는 연결을 통해 명령이 발행된다는 것입니다. 또한 많은 OS 배포판에서 sudo는 기본적으로이 프로그램에는없는 TTY를 요구합니다.

그러나 sudo는 매우 세분화 된 권한 구조를 가질 수 있으므로 한 명 이상의 사용자가 암호 및 TTY없이 하나의 특정 명령을 실행할 수 있습니다. 아래에는 필요에 따라이를 구성하는 세 가지 방법이 나와 있습니다. 어느 것을 선택하든 사용자는 이제 sudo rndc reload비밀번호를 입력하지 않고도 명령을 실행할 수 있습니다.

(또한,이 불필요 할 수도 있지만 ... 제발 당신이 백업으로 되돌릴 경우에있어 루트 개방을 필요로 쉘을 유지하기, 편집하기 전에 당신의 sudoers 파일의 백업 복사본을 만들 기억하고 편집을 그것을 사용하는 visudo대신에 sudo vi /etc/sudoers더 잘 가지고 반대보다 그들을 필요로하지 ... 희망이 예방 조치가 필요 할 것이다.하지만!)

1. 요청에 대해 TTY가 필요하지 않은 경우

가장 쉬운 방법은 (있는 경우) 확인 라인으로 시작 있는지 확인하는 것입니다 TTY 요구 사항을 제거하기 Defaults에 /etc/sudoers단어를 포함하지 않는 requiretty대신, 그것은 포함한다 - !requiretty. 그러나 이렇게하면 sudo 명령에 tty가 필요 하지 않습니다 .

또한 라인을 추가해야합니다

rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload, /path/to/dnssec-keygen, /path/to/other/program

2.이 사용자를 제외한 모든 사용자에게 TTY가 필요한 경우

다음과 같이이 한 명의 사용자에 대한 기본값을 설정하여 수행 할 수 있습니다.

Defaults:rndcuser        !requiretty
rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload, /path/to/dnssec-keygen, /path/to/other/program

3.이 한 명의 사용자가이 한 가지 명령을 제외한 모든 명령에 대해 TTY를 요구하려면

sudoers 파일의 구문으로 인해 조금 더 복잡합니다. 명령에 대한 명령 별명을 작성하고 다음과 같이 해당 명령 별명에 대한 기본값을 설정해야합니다.

Cmnd_Alias RNDC_CMD = /path/to/rndc reload, /path/to/dnssec-keygen, /path/to/other/program
Defaults!RNDC_CMD !requiretty
rndcuser ALL = (root) NOPASSWD: RNDC_CMD

예. sudo는 매우 유연하게 구성 할 수 있습니다. 그럼에도 불구하고, 언급해야합니다. 이러한 유형의 솔루션은 매우 안전한 것으로 간주되어서는 안되며 다른 통제 수단이있는 협력적인 환경에서만 사용해야합니다. 인터넷에서만 알고있는 고객에게는 그렇게하지 않아야합니다.)

sudo 설정은 /etc/sudoers대부분의 시스템에 있습니다. 인터넷 검색이나 man sudo명령으로 구문을 찾을 수 있습니다 .

이 파일을 직접 편집해서는 안됩니다. 그렇게하면 보안 경쟁 조건이 발생할 수 있습니다. 대신 환경 변수를 visudo감싸는 명령 인 명령을 사용하십시오 $EDITOR.

sudo를 구성한 후에는 보이는 명령을 쉽게 감쌀 수 있습니다. 매우 간단합니다 :

1. sudo 랩퍼 스크립트 목록을위한 디렉토리를 작성하십시오 (fe /usr/local/dnsadmin/bin).

2. sudo없이 사용할 수있게하려는 명령에 대한 랩퍼 스크립트를 작성하십시오. 예를 들어 다음과 같이 매우 간단한 명령 /usr/local/dnsadmin/bin/rndc입니다.

   #!/bin/bash exec /usr/bin/sudo /usr/sbin/rndc "$@"

3. 이 디렉토리를 PATH환경 변수로 가져 오십시오 (예 : 시스템 전체 또는 로컬 .profile).

이것은 특정한 경우에 일반적인 해결책 rndc은 아니지만 전혀 필요하지 않습니다 sudo.

rndcnamed비밀 키를 사용하여 로컬 소켓 또는 원격 포트를 통해 모든 프로세스 와 통신 할 수 있습니다 . 기본적으로 (또는 적어도 내가 사용하는 배포판 인 데비안의 경우)이 파일을 찾을 수 있으며 /etc/bind/rndc.key일반적으로 user bind와 group 만 읽을 수 있습니다 bind.

해당 키 파일 (또는 동일한 사본)에 대한 읽기 액세스 권한이있는 사용자는 rndcBIND 서버를 제어하는 ​​데 사용할 수 있으므로이 경우 가장 쉬운 해결책은 사용자를 bind그룹에 추가하는 것 입니다.

놀라운 수의 공통 데몬에는 비슷한 설정이 있습니다 (개인적으로 powerdns의 가능성을 여전히 파악하고 있지만 지금까지는 유망합니다). 원하지 않으면 sudo달성하려는 것이 사례별로 가능한지 확인해야합니다.

sudo를 사용하여 일부 명령에 대한 루트를 부여하고 싶지 않습니다. 대신 일반 명령을 루트 권한으로 실행할 권한을 높이기 위해 [명령을 래핑 할 수있는] 특정 프로그램을 chmod 4750으로 만들 수 있습니다.