Articles of sudo

任何想法为什么以下不起作用？ 它挂起没有输出。 desktop$ ssh myserver "sudo ausearch -k my_key" 但是，下面的作品。 它从auditd输出该密钥的审计历史logging。 desktop$ ssh myserver myserver$ sudo ausearch -k my_key 以下也有效。 （意思是，sudo目前不需要密码。） desktop$ ssh myserver "sudo ls"

我试图设置sudoers文件，以允许用户只在某个目录下的文件 例如 %hmis ALL=/bin/chown eng:hmis /usr/lib/bogimac/bsc/* 不好，因为黑客可以做到以下几点： sudo chown eng:hmis /usr/lib/bogimac/bsc/xctrl.py /etc/important_file 有谁知道如何防止这个？ 谢谢

有没有办法让sudo使用用户的.bashrc文件而不是root用户？ 我想使用自己的.bashrc而不是根或/etc/bashrc （我将不得不强制其他用户使用它）使用sudo。 手册页没有什么帮助，但是我相信有办法这样做。

我想检查一个文件是否存在[ -f /path/to/file ]使用另一个用户。 所以，我补充说： USER1 ALL=(USER2) /bin/mkdir, /usr/bin/git, /bin/echo 到sudoers文件。 问题是，当我尝试执行 USER1:~$ sudo -u USER2 [ -f /path/to/file ] && echo "1" 我得到以下内容： Sorry, user USER1 is not allowed to execute '/usr/bin/[ -f /path/to/file ]' as USER2 on localhost. 所以，这里的问题是：如何启用sudoers文件？ 解 我添加了/usr/bin/test到sudoers文件，而不是这样做： USER1:~$ sudo -u USER2 [ -f /path/to/file ] && echo "1" 我实际上使用了： […]

好消息是，我通过在Red Hat Directory Server上工作的ldap获得了sudoers 。 这个软件包是sudo-1.7.2p1。 我在LDAP组中有一些名为wheel的LDAP / Kerberos用户，并且在LDAP中有这个条目： # %wheel, SUDOers, example.com dn: cn=%wheel,ou=SUDOers,dc=example,dc=com cn: %wheel description: Members of group wheel have access to all privileges. objectClass: sudoRole objectClass: top sudoCommand: ALL sudoHost: ALL sudoUser: %wheel 所以，团轮成员通过sudo具有pipe理权限。 这已经过testing，工作正常。 现在，我已经设置了这个sudo权限，允许一个名为Administrators的组成员执行两个命令，作为这些命令的非root用户。 # %Administrators, SUDOers, example.com dn: cn=%Administrators,ou=SUDOers,dc=example,dc=com sudoRunAsGroup: appGroup sudoRunAsUser: appOwner cn: %Administrators description: Allow members […]

所以我有一个用户运行sudo，他们在wheel和other_group。 other_group不应该需要密码，但轮子。 我的问题是：轮需要sudo密码否定other_group不需要密码的事实吗？ inheritance人sudo visudo一个片段： ## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL ## Same thing without a password # %wheel ALL=(ALL) NOPASSWD: ALL ## Allows members of the users group to mount and unmount the ## cdrom as root # %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom ## Allows members of […]

我如何可以从sudo用户检查根环境variables？ 我尝试了su和sudo的各种键和组合，但没有运气。 例如，普通用户的$ HISTFILESIZE = 2000和root用户的9999。 vagrant@default-debian-78-64-nocm:~$ echo $HISTFILESIZE 2000 vagrant@default-debian-78-64-nocm:~$ sudo -i root@default-debian-78-64-nocm:~# echo $HISTFILESIZE 9999 但是当我尝试通过sudo获得root $ HISTFILESIZE时，它总是返回2000： vagrant@default-debian-78-64-nocm:~$ sudo -i echo $HISTFILESIZE 2000 vagrant@default-debian-78-64-nocm:~$ sudo -i su – -c "echo $HISTFILESIZE" 2000 vagrant@default-debian-78-64-nocm:~$ sudo -i bash -c "echo $HISTFILESIZE" 2000 vagrant@default-debian-78-64-nocm:~$ sudo -i bash -l -c "echo $HISTFILESIZE" 2000

我有一个Node.js应用程序的Upstart作业，我想让它运行节点作为node用户，而不是root 。 当我在作业configuration中使用setuid时，只要我尝试启动作业，它就会显示my-app stop/waiting 。 但是，如果我省略了setuid但是使用sudo exec ，则按照我的预期工作。 我已经创buildnode作为系统用户。 据我所知，所有相关的文件和目录都可以被这个用户访问。 我使用的Upstart版本是1.12.1。 configurationsetuid ： script setuid node chdir /var/app/my-app exec nodejs server.js end script 与使用sudo的configuration相比： script chdir /var/app/my-app exec sudo -u node nodejs server.js end script Upstart的setuid行为和sudo行为之间会有什么不同？

这是代码，显示我认为是一个问题： # Debugging path problems with sudo — – hosts: webservers remote_user: root tasks: – name: echo path command: echo $PATH register: output changed_when: False – name: display root path output debug: "msg={{ output.stdout }}" # Now try as apache – name: echo path command: echo $PATH become: true become_user: apache become_method: sudo register: output […]

我个人喜欢Ubuntu的默认sudo行为： – 根login不可能 – “pipe理员”组授予“所有=（所有）所有” – 在使用“admin”组的用户在使用时要求他们的用户密码（而不是根密码）须藤。 [我喜欢它，因为这样，几个人之间就没有root密码。 其他意见也可能有充分的理由 – 但这不应该成为这个问题的主题。] 现在我试图在Debian Etch中重新创build这个行为。 它基本上工作，但有一个重要的区别：Debian不要求密码。 它应该要求用户的密码。 我编辑sudoers文件是完全一样的Ubuntu中，我添加一个用户到新创build的“pipe理员”组。 在Debian（和其他Linux）中获得Ubuntu行为还需要做些什么？ 谢谢Chris