コマンドapt-get update、およびを使用してサーバーを更新できるDebian / Ubuntuホストの一部で新しいユーザーを作成したいと思いますが、apt-get dist-upgrade他のことを実行できるように完全なsudoアクセスを与えたくありません。これは可能ですか?おそらく、編集できないが実行できるスクリプトを作成する方法があります。これは、rootユーザーとして実行されますか?
回答:
Sudo/etc/sudoersファイルは、ユーザーに完全なルートアクセスを許可するためだけのものではありません。
次のコマンドを使用して、既存のsudoユーザーでsudoersファイルを編集できます。 sudo visudo
以下のように、アクセスを許可するコマンドをグループ化できます。
Cmnd_Alias SHUTDOWN_CMDS = /sbin/poweroff, /sbin/halt, /sbin/reboot
Cmnd_Alias UPDATE_COMMANDS = /usr/bin/apt-get
その後、次のようなコマンドに特定のユーザー特権を付与できます。
[User's name] ALL=(ALL) NOPASSWD: SHUTDOWN_CMDS, UPDATE_COMMANDS
これは以下の画像で見ることができます
:
今、あなたがしようとするとsudo apt-get update、sudo apt-get dist-upgradeそれらのコマンドはパスワードを要求せずに実行されます。パスワードの入力を求められる場合はNOPASSWD、コマンドグループへのユーザーアクセスを許可するビットを削除します。
sudoユーザーとして他の何かを実行しようとすると、パスワードの入力を求められて失敗します。
apt-getだけでなくapt-get upgrade、完全なルートアクセスを与えることに注意してください。多くのアップグレードスクリプトでは、たとえば、構成ファイルが変更された場合に、対話型ユーザーがシェルを実行できます。安全のために、apt-get特定のコマンドに制限し、強制的に非対話的にします。とのパスワードなしのsudoをsshユーザーに与えることは安全ですか?をapt-get updateapt-get upgrade
%sudo ...
man sudoersおよびを参照してくださいsudo cat /etc/sudoers。