首先,我不是在寻找摇滚明星的安全。 我们只是一目了然地想阻止“sudo su – ”,在运行命令时总是使用sudo是一个策略,我们都希望这样做。 理想情况下,如果有人尝试“sudo su – ”来请求服从文化,永远不要成为根,那么我们希望logging一些东西,这样我们就可以对所有运行的命令进行逆向工程,发生了什么事情。 有没有办法做到这一点,以防止sudo su – 但允许“sudo su – serveruser” 谢谢,Dean
我在这里做错了什么,因为这条线使visudo失败 dhiller2 ALL = ALL,!NSHELLS,!NSU NOPASSWD:ALL 这条线的工作 dhiller2 ALL = ALL,!NSHELLS,!NSU 如何解决这个问题? 是的,我知道有办法解决这个问题…这只是为了提醒我们的pipe理员,政策不是sudo su – 而且您应该使用sudo来运行所有命令。 谢谢,Dean
我刚在我的机器上安装了sudo(Debian Wheezy)。 当我用visudo编辑sudoers文件时,我注意到了这一行: %sudo ALL=(ALL:ALL) ALL 在几个教程和博客(虽然通常基于挤压),这里是build议: %sudo ALL=(root) ALL 理想情况下,我应该使用哪一个(如果其中之一)? 第一个是否意味着sudo组中的任何用户都能够像机器的其他任何用户一样运行命令? 最新的格式是否仍然适用于Wheezy还是有一个更新的方法来做到这一点,例如使用冒号? 谢谢 :-)
我有这个奇怪的问题。 php命令没有在一个特定的坐标中find。 我尝试以三种不同的方式调用命令。 其中只有一个失败: 作为用户john我创build了一个简单的脚本调用php –version 。 然后以root用户的身份调用这个脚本: sudo -u john ./script.sh 这样php命令没有find。 作为root我像这样直接调用命令: sudo -u john php –version 这里没问题,命令确实存在。 我直接以用户'john': ./script.sh调用脚本 它也能正常工作。 这是什么原因造成的? 其他用户也会遇到这个问题,不仅仅是john ,它只发生在这个特定的机器上。 操作系统是CentOS 5.9。 编辑:另外,像gcc , perl或python其他命令不会出现这个问题。 php命令是我迄今发现的唯一一个问题。
我有一个networking服务器,Apache运行www数据。 用户使用厨师设置,他们的一些文件/文件夹权限被设置为组:www-data,例如上传文件夹。 用Capistrano完成部署,使用用户帐户。 如果在部署期间,Capistrano也可以将文件/文件夹组更改为www-data。 我怎么能configuration这个,同时保持安全? 我正在考虑在sudoers文件中允许<user>执行chgrp www-data /home/<user>/*同时确保该命令不包含..
我有我的Linux机器连接到AD,但我无法获得sudo权限。 我可以login使用AD凭据,但sudo不起作用。 我已经看了我能find的所有东西,并且大家都说把以下内容添加到sudoers文件中: %MYDOMAIN \ mygroup ALL =(ALL)ALL 当我这样做,并试图sudo它响应: myusername不在suoders文件中。 这个事件将被报道。 可能问题是AD域/组没有列在组或passwd文件中? 如果是这样,我该如何添加呢?
我已经添加到sudoers的条目,允许执行脚本,而无需键入 jdoe ALL=(ALL) NOPASSWD: /usr/bin/doveadm 但是当用户jdoe正在尝试执行 /usr/bin/doveadm acl get -u [email protected] INBOX 它会抛出一个错误: doveadm([email protected]): Error: user [email protected]: Auth USER lookup failed doveadm([email protected]): Fatal: User lookup failed: Internal error occurred. Refer to server log for more information. 当上面的请求是用sudo执行的 sudo /usr/bin/doveadm acl get -u [email protected] INBOX 它工作正常。 任何线索是怎么回事?
我试图部署saz / sudo模块来pipe理我们的sudoconfiguration(我对puppet(〜3day)很新,所以请原谅我的潜在无知)。 我们目前的sudoconfiguration都包含在一个单独的(大的)/ etc / sudoers文件中,我想在sudoers.d中分解成相关的文件。 我已经能够安装saz / sudo模块,但一直在摸索configuration它。 我现在通过使用下面的configuration将它包含在另一个模块site_sudo中: # cwd : /etc/puppetlabs/code/environments/production/modules site_sudo/examples site_sudo/files site_sudo/Gemfile site_sudo/manifests site_sudo/metadata.json site_sudo/Rakefile site_sudo/README.md site_sudo/spec site_sudo/examples/init.pp site_sudo/files/etc site_sudo/files/etc/sudoers.d site_sudo/files/etc/sudoers.d/svc_servicenanme site_sudo/files/etc/sudoers.d/user_username site_sudo/manifests/init.pp site_sudo/spec/classes site_sudo/spec/spec_helper.rb site_sudo/spec/classes/init_spec.rb 与init.pp的内容如下: [root@puppet modules]# cat site_sudo/manifests/init.pp | grep -vP '^#' class site_sudo { class { 'sudo': } sudo::conf { 'user_username': source => 'puppet:///modules/site_sudo/etc/sudoers.d/user_username', } […]
我创build了一个用户来代表该用户运行某个进程: sudo useradd -r -s /bin/false -d /var/lib/my_app123 my_user123 现在为了代表“my_user123”运行这个过程,我这样做了: su – my_user123 1)它问我一个密码。 什么密码? “my_user123”没有密码。 如何解决这个问题? 2)或者“my_user123”运行“/ var / lib / my_app123 / some_process”的正确方法是什么? sudo本身工作正常。
我想知道是否有办法启用或提升用户帐户来执行系统pipe理任务,而不必使用root帐户或sudo。 这里的目标是允许一个用户帐户添加/删除用户/打印机,而不给他们的root帐户进行“神”的权力,在某种程度上build立一个受限制的系统pipe理员。 不知道是否有这样做的方式,因为大多数只是根据我的理解。