linux – 在没有sudo的情况下向非root用户授予一组命令的访问权

但是,sudo能够具有非常细粒度的权限结构,从而允许一个或多个用户在没有密码和TTY的情况下发出一个特定命令.下面,我将展示三种方法来根据您的需求进行配置.无论您选择哪一个,用户现在都可以发出命令sudo rndc reload而无需输入密码.

(此外,这可能是不必要的,但是……请记住在编辑之前制作你的sudoers文件的备份副本,以便在你需要恢复备份的情况下保留一个你打开root的shell,并编辑它使用visudo而不是sudo vi / etc / sudoers.希望这些预防措施是不必要的,但是……更好地拥有它们而不需要它们而不是相反！)

1.如果您不想要求任何TTY请求

摆脱TTY要求(如果存在)的最简单方法是确保以/ etc / sudoers中的Defaults开头的行不包含requiretty一词 – 相反,它应该包含！requiretty.但是,如果你这样做,这意味着没有sudo命令将需要tty！

您还需要添加该行

rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload,/path/to/dnssec-keygen,/path/to/other/program

2.如果要为除此之外的所有用户要求TTY

这可以通过为这一个用户设置默认值来完成,如下所示：

Defaults:rndcuser        !requiretty
rndcuser ALL = (root) NOPASSWD: /path/to/rndc reload,/path/to/other/program

3.如果要为这一个用户请求除此一个命令之外的所有命令的TTY

由于sudoers文件的语法,这有点复杂.您需要为该命令创建命令别名,然后为该命令别名设置默认值,如下所示：

Cmnd_Alias RNDC_CMD = /path/to/rndc reload,/path/to/other/program
Defaults!RNDC_CMD !requiretty
rndcuser ALL = (root) NOPASSWD: RNDC_CMD