Debian Linuxボックスで特定のコマンドを1人のユーザーに許可する必要があります。私は/etc/sudoersファイルでこれを試しました:
# User privilege specification
zabbix ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'
これは期待どおりに機能しません。sudoを使用してユーザーzabbixとしてコマンドを実行すると、パスワードを要求されます(ただし、NOPASSWDオプションを指定しました)。
ただし、これは機能します。
# User privilege specification
zabbix ALL=NOPASSWD: /usr/bin/apt-get
しかし、すべてのサブコマンドapt-getが許可されるという欠点があります。特定のコマンドのみを許可するようにこれを修正する方法はありますか?
回答:
私は横たわることに同意しません。awk動作しますが、ルートとして実行する必要はありません。あなたはawk何らかの方法で攻撃できるかもしれないので、私はこれに満足しません。結局のところ、完全なプログラミング言語インタープリターです。
1つがsudo /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'実行されるsudo /usr/bin/apt-get --print-uris -qq -y upgradeと、実際に実行され、呼び出し元ユーザーとしてパイプ/リダイレクトされます。
これを試して: zabbix ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade
ちなみに、lainのようにこれをスクリプトに入れても問題はありません。可能であれば、rootとしてawkを実行することは避けます。
リダイレクションとsudoの相互作用の方法に反則している可能性があります。リダイレクトは、特権ユーザーではなく呼び出しユーザーで実行されます。スクリプトでコマンドをラップし、zabbixユーザーにそのスクリプトの実行を許可する方がおそらく簡単でしょう。
#!/bin/bash
/usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'
セットsudoersとして
zabbix ALL=NOPASSWD: /path/to/script
これで、特定のapt-getコマンドだけでなく、スクリプト全体が特権ユーザーとして実行されます。ただし、zabbixユーザーがスクリプトに書き込めないことを確認してください。