在我的工作场所,我们使用sudo–ldap从一个集中的商店中通过networking提供sudo特权。 我们根据用户名和他们正在运行sudo的主机名来做到这一点,例如: sudoHost: foo1 sudoUser: user1 我希望能够匹配基于FQDN而不是短主机名的sudoHost属性,以便我们可以将DNS子域用于不同的环境 – 例如在开发环境中使用web1.dev.example.com , web1.test.example.com在testing环境中等等。 但是,现在sudoHost只匹配短主机名。 即这工作: sudoHost: foo1 但是这不起作用: sudoHost: foo1.dev.example.com 只有短主机名( foo1 )的问题是,它匹配所有环境 – foo1.dev , foo1.test , foo1.staging等。我希望它比这更细粒度。 是否有可能得到sudo-ldap查询基于FQDN(由hostname -f返回),而不是只是简短的主机名? 我用googlesearch没有成功。 我在man page或online上找不到任何东西; 在讨论sudoHost属性时最接近的是: sudoHost 主机名,IP地址,IPnetworking或主机networking组(以“+”为前缀)。 特殊值ALL将匹配任何主机。 没有提到FQDN与短主机名。 在configurationldap.conf部分中没有提到FQDN和简短的主机名。 有问题的主机正在运行Ubuntu 10.04。
根据这个问题 ,我们正在将sudoers文件迁移到Active Directory。 根据文档,这需要导入与标准安装sudo一起提供的schema.ActiveDirectory LDIF。 我们的Windows域在Windows Server 2003上。 我遇到了将LDIF架构导入Active Directory的错误。 第144行的错误是“参数不正确”。 这是144行以后的内容: dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: top objectClass: classSchema cn: sudoRole distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X instanceType: 4 possSuperiors: container possSuperiors: top subClassOf: top governsID: 1.3.6.1.4.1.15953.9.2.1 mayContain: sudoCommand mayContain: sudoHost mayContain: sudoOption mayContain: sudoRunAs mayContain: sudoRunAsUser mayContain: sudoRunAsGroup mayContain: sudoUser rDNAttID: cn showInAdvancedViewOnly: FALSE adminDisplayName: sudoRole adminDescription: […]
我有点困惑于如何在ubuntu系统上同步运行同步文件与组和属性属性,因为你需要是root用户。 但是我需要远程执行此操作并自动进行。 我知道我可以设置SSH密钥和我的用户,但这并不重要,因为我仍然无法以root身份执行远程系统上的更改。 我想我的问题是, 我将如何去使用远程系统上的root进行统一? 或者有没有办法设置一个命令,让用户以root身份自动运行而不需要密码? 或者还有其他方法可以做到这一点吗? 任何指导与此赞赏。
我的团队需要在Red Hat 5.7上安装和pipe理一个非常大的应用程序,并且需要能够以root身份进行操作。 在项目中,Unix支持团队(负责操作系统支持)授予我们(应用程序支持团队)sudo所有的访问权限,所以我们可以这样做。 但是,我们的内部政策规定,一旦服务器运行(由我们的Unix团队正式支持并上线),除了他们之外,没有人应该拥有root权限。 为了能够明确支持有问题的应用程序,我的团队需要向Unix团队提供一个命令和访问需求的完整列表,以便他们可以授予我们sudo对所有这些命令的访问权限。 该应用程序的供应商不支持这种types的限制性pipe理,并没有一个定义的配方正确做到这一点没有问题。 这几乎是试错。 也就是说,列出我们需要运行的所有必需命令,列出每个我们需要的目录/文件访问,最好的方法是什么? 应用程序以root身份安装,其安装目录下的所有文件目前由root用户或服务用户(为应用程序服务创build的用户)拥有。 我已经开始列出带有perms u + x的所有文件,并且在未经修改的基础安装之后计算出2801个文件。 这不包括/etc/init.d中的初始化脚本和其他系统命令(如chown,chmod,ps,kill等等),我们也可能需要运行它们。 对我来说,这听起来几乎是不可能的(或者至less非常困难),而没有遇到问题。 我明白这不是一个简单的问题,可以有很多方法来做到这一点,但我仍然希望听到社区的承担。
我想添加一个条目sudoers,这将允许在组test用户在任何主机上运行任何命令作为组test (即与sudo -g test ,而不必input密码,我已经尝试了一些不同的这样做的方法在语法上是有效的,但是没有一个按照预期工作,我想我不确定应该把NOPASSWD选项应用到sudo -g这是在Ubuntu 13.10服务器上,顺便说一句。
我在Arch Linux上运行Apache 2.4.8 ,但这并不重要。 我想创build一个致力于Webpipe理的用户。 我创build了一个用户,一个组,并将用户添加到组中。 我怎样才能添加visudo行,让他控制基于Web的服务? 我拥有正确设置的Web根的所有权,但是我需要组“ web ”以允许使用“ service.httpd ”,“ apachectl ”和其他Web程序。 我有: %web ALL=(ALL) /usr/bin/httpd
我试图find一种方法来允许用户john代表另一个用户peter执行一个命令(说回声),而不会提示input密码。 我发现一个线程,我认为将是我的问题的答案: john ALL = (ALL) NOPASSWD: /bin/echo 不幸的是,这不是我想要的。 该命令以peter执行echo命令,但在john的上下文中执行。 这意味着主目录仍然是john目录。 作为用户john ,如果我运行:“ sudo -u peter echo ~ ”,响应是: /home/john 。 我希望它是/home/peter 。 我期待的行为是由su命令提供的。 作为根,如果我这样做: su peter -c "echo ~" ,我得到/home/peter 。 这个问题是,我如何得到su的行为,而不是根,没有提示input密码?
我在使用安全ansible-galaxy安装插件时遇到问题。 我已经尝试了三件事情: 没有sudo的情况下: ansible-galaxy install sfromm.epel [WARNING]: – sfromm.epel was NOT installed successfully: Could not update files in /etc/ansible/roles/sfromm.epel: [Errno 13] Permission denied: '/etc/ansible/roles/sfromm.epel' 这里没有什么奇怪的,显然我的用户不能写入该文件夹。 与sudo su一起使用: $ sudo su root@notebook# ansible-galaxy install sfromm.epel – … – sfromm.epel was installed successfully 正如你所看到的,我能够以这种方式安装插件。 与sudo打交道: 这里是我不明白发生了什么事。 $ sudo ansible-galaxy install sfromm.epel [WARNING]: – sfromm.epel was NOT installed […]
您好,我正在尝试设置SSSDauthentication到AD上的RHEL。 我能够用我的AD用户和密码login,并看到我的团队,当我运行id 。 但是,当我尝试使用sudo,它只是不断提示我的密码( Sorry, please try again )。 任何想法为什么? 我知道这不是sudoers文件,因为当我运行sudo -U myUser -l我see (root) ALL但是我可以su到root没有问题,我不会提示input密码。 我的假设是它与PAM有关。 pam.d /系统AUTH-AC auth required pam_env.so auth sufficient pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account […]
我经常使用nano通过ssh进行快速编辑。 如果我将这与sudo结合起来,尽pipe我的.nano_history文件对于非sudo编辑而言变得不可读。 我最终得到以下警告: Error reading /home/user-name/.nano_history: Permission denied 是否有任何方法吐出历史档案,使我仍然可以访问我的非sudo历史? TIA