タグ付けされた質問 「sudo」

免責事項：私はsysadminスタッフの初心者です。 AWS EC2インスタンスでポートフォワーディングを設定しようとしていますが、これはコマンドラインで実行する必要があります。何も入力して編集したくないため、自動である必要があります（ビルドプロセスの一部です） ）。 sudo echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf アクセス拒否 奇妙なことはsudo、su特権を必要とするほとんどすべてのコマンドに（成功して）使用していることです。私が行う場合はsudo su、コマンドの前に（手でそれを試しsshセッション）、それは動作します。 この理由は？関与しない、sudo suまたは手動での編集が可能な解決策は？

16 ubuntu  ssh  amazon-ec2  sudo 

実稼働レベルのAmazon ec2インスタンスを実行していますが、すべてのユーザーのルート権限を閉じたいです。通常、ec2-userとしてインスタンスにログインすると、ec2-userはすぐにsudo特権を取得しますが、セキュリティを確保するためにこれを廃止しようとしています。 rootユーザーに新しいパスワードを設定することができ、/ etc / sudoersにアクセスしてsudo特権からec2-userを削除しようとしましたが、そのユーザーはファイルにもリストされていません。デフォルトのLinuxインストールを実行しているAmazon ec2インスタンスのsudo権限からec2-userを削除する方法を知っている人はいますか？

16 amazon-web-services  root  sudo 

sudoDebian 8にはかなり奇妙な問題があります。ユーザーはでいくつかのコマンドを実行できません/etc/sudoers.d。Chefを使用して構成を配布するため、すべてのファイルが自動的に生成されます。 例： この構成は正常に動作します root@server:~# cat /etc/sudoers.d/nginx # This file is managed by Chef. # Do NOT modify this file directly. user ALL=(root) NOPASSWD:/usr/sbin/nginx そしてこれは失敗します： root@server:~# cat /etc/sudoers.d/update-rc.d # This file is managed by Chef. # Do NOT modify this file directly. user ALL=(root) NOPASSWD:/usr/sbin/update-rc.d user@www42:~$ sudo update-rc.d [sudo] password …

15 linux  debian  sudo  rbac 

私のpythonスクリプトがBSDのようなOSで管理者権限（sudo）の下で実行されていることを確認する方法は？管理者権限なしで実行されるためには、ユーザーフレンドリーな警告を表示する必要があります。

15 python  sudo 

私のマシンの非ルートユーザーに非sudoアクセスを許可したい、ユーザーdns-managerがあり、彼の唯一の役割はすべてのBINDコマンド（rndc、dnssec-keygen）などを実行することです 今、彼はコマンドを実行する必要があるたびに、入力します、 sudo rndc reload このsudoを取り除くことができる方法はありますが、特定のコマンドセットでのみ（そしてdns-managerのみ）ですか？

13 linux  sudo 

バックグラウンド 私は違いを知っているsu -、sudo su -とsudo <command>： su - -ユーザーをrootに切り替え、rootパスワードが必要 sudo su - -ユーザーをルートに切り替え、現在のユーザーのパスワードのみが必要 sudo <command>-特定のコマンドに対してのみルートアクセスを許可します。現在のユーザーのパスワードのみが必要 私の質問はsudo su -、実稼働環境で使用することが安全かどうかです。 いくつかの考え： sudo su -ルートアカウントへのアクセスを個々のユーザーパスワードに依存させることにより、許可するとセキュリティリスクが生じるようです。もちろん、これは厳密なパスワードポリシーを適用することで軽減される可能性があります。su -管理者が実際のルートパスワードを共有する必要があるため、これ以上良いとは思いません。 ユーザーが完全にルートアカウントに切り替えることを許可すると、システムに変更を加えたユーザーを追跡するのが難しくなります。私の仕事では、複数のユーザーにsudo su -アクセス権が与えられるケースを見てきました。システムにログインするときにユーザーが最初に行うことは、sudo su -作業を開始する前に実行されることです。それから、ある日、何かが壊れて、誰がrm -rf *間違ったディレクトリで走ったかを追跡することができなくなります。 ご質問 上記の懸念を考えると、ユーザーが使用できるようにすること、sudo su -またはsu -まったく使用できないようにすることは良い考えですか？ 管理者が（怠inessは別として）sudo su -またはsu -その代わりにユーザーアカウントを構成する理由はありますsudo <command>か？ 注： rootユーザーに対して直接sshアクセスが無効になっている場合、ユーザーが実行している場合、sudo su -またはsu -システムを変更する必要がある管理者である場合は無視します。

13 linux  unix  sudo  su 

ユーザーを追加することの違いは何である/etc/sudoersとはusermod -a -G sudo？sudoを付与するにはどの方法を使用する必要がありますか？

13 ubuntu  sudo 

Debian Linuxボックスで特定のコマンドを1人のユーザーに許可する必要があります。私は/etc/sudoersファイルでこれを試しました： # User privilege specification zabbix ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}' これは期待どおりに機能しません。sudoを使用してユーザーzabbixとしてコマンドを実行すると、パスワードを要求されます（ただし、NOPASSWDオプションを指定しました）。 ただし、これは機能します。 # User privilege specification zabbix ALL=NOPASSWD: /usr/bin/apt-get しかし、すべてのサブコマンドapt-getが許可されるという欠点があります。特定のコマンドのみを許可するようにこれを修正する方法はありますか？

13 linux  debian  sudo 

ルートとして機能する複数のシステム管理者に関する最近の質問があり、sudo bash -l参照されました。 私はGoogleとSEに、この検索が、私は違いを理解していないsudo bash -lとしますsudo -i。 bashとsudoのmanページからsudo bash -lは、rootユーザーの〜/ .bash_profile、〜/ .bash_login、〜/ .profile、および〜/ .bash_logoutを実行する違いがあるように見えますが、自分自身をテストすると次のようになりますルートユーザーではなく、通常のユーザーの.bashrcを実行します。〜式がmanページで参照しているユーザーを誤解している可能性があります。違いと使用シナリオの明確化をいただければ幸いです。

13 linux  bash  sudo  root 

そのようなファイルが存在するかどうかを確認したい [ -f /path/to/file/ ] ただし、私はこのコマンドを通常のユーザーとして実行しており、ファイルの所有者はrootです。どうすればsudoを使用してこれを達成できますか。 sudo [ -f /path/to/file/ ] 動作しません。

13 linux  bash  sudo 

私が行うとsu -ルートに到達するために、私の現在のディレクトリがrootのホームに設定されています。私は多くのように、中にあったことを、現在のディレクトリを維持するために、とにかくそこにありますsudo -s。それとも、sudoを使用する答えですか？

13 linux  unix  sudo  su 

/etc/init.d/にスクリプトを作成しました。このスクリプトは、他の（ルート以外の特権を持つ）ユーザーからホームディレクトリから他のスクリプトをいくつか実行する必要があります。 これらのスクリプトを次のもので起動します。 sudo -b -u <username> <script_of_a_particular_user> そしてそれは動作します。ただし、実行を継続するすべてのユーザースクリプト（ウォッチドッグなど）には、対応する親sudoプロセスが表示されますが、まだ生きており、rootとして実行されています。これにより、アクティブプロセスリストに混乱が生じます。 したがって、私の質問は次のとおりです。既存のbashスクリプトから別のユーザーとして別のスクリプトを起動（フォーク）して、孤立した（スタンドアロン）プロセスのままにするにはどうすればよいですか。 より詳細な説明： 私は基本的に、マシン上の他のユーザーに、.startUpと.shutDownという名前のホームディレクトリにあるそれぞれのサブディレクトリにある実行可能ファイルを実行することにより、システム起動またはシステムシャットダウン時に実行する手段を提供しようとしています。他の手段を見つけられなかったので、正確にそれを行うbashスクリプトを作成し、（スケルトンの例に従って）/etc/init.d/でサービススクリプトとして構成しました。 start引数を使用すると、.startUpディレクトリからすべてを起動し、stop引数を指定して実行すると、すべてのユーザーの.shutDownディレクトリからすべてを起動します。 あるいは、この問題を解決するために既存のソリューションを使用できたのかどうかにも興味があります。 更新 私は少し見て回ったところ、この質問を見つけました：https : //unix.stackexchange.com/questions/22478/detach-a-daemon-using-sudo そこに受け入れられた答え、使用する：sudo -u user sh -c "daemon & disown %1"、私のために働く。しかし、私は％1を否認せずに試しましたが、それは同じです。だからこれは私が期待したように私のために働くものです： sudo -u <username> bash -c "<script_of_a_particular_user> &" 私の追加の質問は、なぜそれが否認せずに機能するのかということです。とにかく、何らかの潜在的な特別なケースのために、私はまだdisownコールを離れるべきですか？ 更新2 どうやらこれも動作します： su <username> -c "<script_of_a_particular_user> &" この呼び出しとsudo呼び出しに違いはありますか？これは潜在的にまったく異なる質問であることを知っています。しかし、私はこのトピックのために自分で答えをここで見つけているので、誰かがこれをここで明確にすることができます。 更新3 suまたはsudoを使用したこれらのメソッドはどちらも、マシンの起動後に新しいstartparプロセス（rootとして実行される単一プロセス）を生成します。プロセスリストに次のように表示されます。 startpar -f -- <name_of_my_init.d_script> なぜこのプロセスが生まれたのですか？他のinit.dスクリプトではこのプロセスが実行されていないため、明らかに私は何か間違ったことをしています。 更新4 …

12 linux  debian  bash  sudo  init.d 

ペイロードを配信する前に、リモートホストで多数のテストを実行するローカルシェルスクリプトがあります。これらのテストの1つは、ユーザーがsudo特権を持っているかどうかで、単純にチェックされますsudo -vが、これにはユーザーがパスワードを入力する必要があります。また、リモートホストにはインスタントsudoタイムアウトがあるため、新しい接続ごとにパスワードエントリが必要になりますが、これは（ポリシーとして）変更する権限を持っていません。 もちろん、ユーザーが特定のグループに属しているかどうかをテストできますが、これはリモートホスト構成にとらわれないため、ユーザーのグループを想定する必要がないチェックできる方法があることを望んでいましたユーザー入力を必要としないとして？ ありがとう！ 更新：コメントをエコーするために、ユーザーがsudoを実行できるかどうかをテストするだけで、そのテストではユーザーの操作は必要ありません。

12 ssh  sudo 

Ubuntu Lucidサーバーで、ユーザーの1人が別のユーザーとしてコマンドを実行できるようにしたいと思います。 これを行うために、sudoersファイルの構文を見つけるのに苦労しています。「ludo」という名前のユーザーでボックスに接続し、ludoで「django」ユーザーとしてコマンドを実行できるようにしたいとします。例えば： sudo -u django / any /コマンドをdjangoユーザーとして、パスワードを要求することなく実行できるようにしたいと思います。私が見つけるすべての例は、制限されたサブセット用です。私は何かを試みましたが、visudoを終了するときに構文エラーが発生したので、それをボトル化しました。 ありがとう：）

12 ubuntu  sudo 

私は展開プロセスを自動化しており、マシン上の.shファイルを1つだけ呼び出して、ビルドを行い、サーバーに.zipをアップロードしてから、サーバー上で多くのことを実行できるようにしたいと考えています。私がしなければならないことの1つは、私がrootになることです。だから、私がやりたいのはこれです： ssh user@172.1.1.101 <<END_SCRIPT su - #password... somehow... #stop jboss service server_instance stop #a bunch of stuff here #all done! exit END_SCRIPT これも可能ですか？

12 ssh  bash  sudo  su