我configuration了一个服务器来支持OTP(使用opie)与SSH。 令我感到困扰的是,在做sudo的时候,即使是root也能得到OTP口令提示符。 我如何configurationPAM来抑制它? 没有看到本地 OTP的需要。 系统是Debian stable(lenny),安装了一些不稳定的/ backports(没有连接到PAM)。
我的背景: ruby企业1.8.7,在CentOS 5上 ruby和gem安装在/ usr / local / bin中 ./runner:正确运行 sudo ./runner Rails需要RubyGems> = 1.3.2。 请安装RubyGems并重试: http : //rubygems.rubyforge.org (因为sudo有一个有限的PATH) sudo PATH = $ PATH ./runner:运行正常,因为runner在PATH中有/ usr / local / bin 题: 有没有其他的select(可能更优雅 – 以最小的变化)启动与sudo亚军,当gem不在/斌或/ usr /斌? 那些我想到的(但不满意): 在/ usr / bin中插入符号链接 修改跑步者? 修改sudoers? 也许有一个configuration文件或一个命令行参数运行的方式?
看完这个之后 [root@wcmisdlin02 alexus]# tail -2 /etc/sudoers ## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment) #includedir /etc/sudoers.d [root@wcmisdlin02 alexus]# 我现在有以下几点: [root@wcmisdlin02 ~]# cat /etc/sudoers.d/01_nagios Defaults:nagios !requiretty nagios ALL=(ALL) NOPASSWD: /usr/lib/nagios/plugins/ [root@wcmisdlin02 ~]# 但我得到我的/var/log/messages Sep 21 11:14:32 wcmisdlin02 sudo: nrpe : sorry, you must have a tty to run sudo ; […]
我正在做一个sudoers文件。 什么是正确的方式来陈述以下? 零个或多个命令行选项,每个选项以单个或双个破折号开头,后跟一个或多个字符。 我想要有效地允许长和短的命令行选项,总数为零或更多,例如-v –variable -vb等。 我相信以下将是适当的perl正则expression式。 … <binary> (?:-{1,2}\w+)* <file> 我不知道如何将其翻译成兼容bash / sudoers的东西。
我想configuration我的Debian框sudoers文件如下: 如果USERNAME从IP aaaa远程login:不需要密码即可使用sudo 如果USERNAME从其他地方或本地远程访问:使用sudo需要密码 我知道如何做到这一点,所以他们总是需要,或从来没有需要,但我不知道如何configuration多个位置。
我按照这个代码在puppet中configurationsudo模块 class sudo { package { sudo: ensure => present, } if $operatingsystem == "Ubuntu" { package { "sudo-ldap": ensure => present, require => Package["sudo"], } } file { "/etc/sudoers": owner => "root", group => "root", mode => 0440, source => "puppet://$puppetserver/modules/sudo/etc/sudoers", replace => true, require => Package["sudo"], } } 并得到以下错误: 如果您已经安排了其他方式来访问root帐户,并且您确定这是您想要的,您可以通过设置环境variables(导出SUDO_FORCE_REMOVE = yes)来绕过此检查。 什么参数,我应该把它放到代码中,以使sudo命令只需要ssh-key而不需要询问密码。 […]
我有一台运行Debian Squeeze并带有最新更新的服务器。 我试图设置sudoers文件,以允许特定用户的特定shell脚本的用户www-data执行。 我用visudo为此添加了这一行: www-data ALL=(img) NOPASSWD: /path/to/script/imgsync.sh 然后我试图把它称为用户www-data(我从根到www数据第一): sudo -u img /path/to/script/imgsync.sh 令我惊讶的是,它仍然要求input密码: [sudo] password for www-data: 我期待NOPASSWD:照顾这个? 真让我困惑的是:我有另一台服务器使用相同的设置,在没有密码的情况下工作。 另外,我在同样的服务器上也有类似的权限,也没有密码的工作。 我甚至添加了该行 Defaults:www-data !authenticate 与visudo(只是为了testing,我不想这个)。 然后,当我再次尝试时,我得到了(矛盾的)错误消息: 对不起,用户www-data不允许执行'/path/to/script/imgsync.sh'作为img的servername。 我怎样才能让它执行,而不必提供密码(并没有更多的权利,万维网数据)?
有没有办法在不需要使用sudo命令的情况下在CentOS 6.3中mount /mnt/a /mnt/b或mount /mnt/b (在/etc/fstab mount /mnt/b )?
我试图设置一个一次性的SSH隧道,在login的显示器上实例化x11vnc。 ssh -f -t -L 5900:localhost:5900 [email protected] 'sudo /usr/bin/x11vnc -safer -once -nopw -display :0 -auth /home/user/.Xauthority' 的/ etc / sudoers中: user@myhost:~$ sudo cat /etc/sudoers [sudo] password for user: # # This file MUST be edited with the 'visudo' command as root. # # Please consider adding local content in /etc/sudoers.d/ # instead of directly modifying […]
我find了关于Oprofile安全性问题的常见问题的以下答案: 这个“问题”只发生在你主动错误地通过sudoconfiguration对OProfile的访问的情况下。 OProfile使用了shell脚本,这些脚本没有经过审计(也不可能发生),通过破坏的sudo工具来使用(任何能够让你改变root的path的任意指令都被视为可怕的破坏)。 不要使用sudo! 正如我所看到的,答案的作者认为, sudo已经被破坏了,所以它不应该只用于oprofile,而且还应该用于其他目的。 在Linux中有更好的selectsudo吗?