Consentire a determinati ospiti di eseguire determinati comandi

Vorrei creare un nuovo utente su alcuni dei miei host Debian / Ubuntu in grado di aggiornare il server usando i comandi apt-get updatee apt-get dist-upgrade, ma non voglio dare loro pieno accesso sudo per poter fare qualsiasi altra cosa. È possibile? Forse c'è un modo per creare uno script che non possono modificare ma possono eseguire, che verrà eseguito come utente root?

Sudoe il /etc/sudoersfile non è solo per garantire agli utenti l'accesso root completo.

È possibile modificare il file sudoers con un utente sudo esistente, con il comando sudo visudo

Puoi raggruppare i comandi a cui vuoi consentire l'accesso come di seguito:

Cmnd_Alias SHUTDOWN_CMDS = /sbin/poweroff, /sbin/halt, /sbin/reboot
Cmnd_Alias UPDATE_COMMANDS = /usr/bin/apt-get

È quindi possibile assegnare a tali comandi privilegi utente specifici in questo modo:

[User's name] ALL=(ALL) NOPASSWD: SHUTDOWN_CMDS, UPDATE_COMMANDS

Questo può essere visto nell'immagine qui sotto :

Ora se ci provi sudo apt-get updateo sudo apt-get dist-upgradequei comandi verranno eseguiti senza richiedere una password . Se si desidera che venga richiesta una password, rimuovere il NOPASSWDbit in cui si concede a un utente l'accesso ai gruppi di comandi.

Se si tenta di eseguire qualcos'altro come sudoutente, verrà richiesto di inserire una password e fallire.

Riferimenti

• Ubuntu Docs - Sudoers
• Come modificare il file Sudoers su Ubuntu e CentOS
• Assumi il controllo del tuo Linux | file sudoers: come con esempi