我认为这是把这个,而不是在StackOverflow的正确的地方 无论哪种方式,我们有一个CentOS 6.6服务器。 SElinux不允许我们启用httpd_can_sendmail 我试过这个…. sudo setsebool -P httpd_can_sendmail on 我然后得到这个 /usr/sbin/getsebool httpd_can_sendmail httpd_can_sendmail –> off 我也试过这个 sudo setsebool -P httpd_can_sendmail 1 sudo setsebool -P httpd_can_sendmail true sudo setsebool -P httpd_can_sendmail on
假设我有一个使用MS Active Directory的公司域mydomain 。 在域中,我有用户myuser和youruser 。 现在,在一台特定的Ubuntu机器mymachine ,myuser具有sudo权限,并且sudo su youruser (或者sudo -u youruser sh )。 由于myuser具有必要的sudoersconfiguration,所以他不需要input用户的密码,并且将有效地成为该机器上的用户。 myuser目前拥有什么样的youruser权限? 显然,如果你的youruser在机器上也有一个主目录, myuser现在可以访问它并阅读他的私有本地文件。 但是,如果尝试访问使用kerberos,samba等networking域资源会发生什么? 我想因为他从来没有进入你的youruser的密码,他没有authentication为域用户,没有Kerberos票等。所以如果有一个networking服务,检查组成员身份为他的用户ID,这也会失败? 这个怎么用? 他被认为是不同的用户,比如mymachine\\youruser ,而不是mydomain\\youruser ? 假设有一个Web服务作为机器上的守护进程运行,使用专用的域用户myserviceuser 。 如果此Web服务需要访问networking资源(即使用Kerberos进行身份validation),则应该如何设置守护进程(例如,从一个暴发户脚本)? 通常你用sudo -u myserviceuser <cmd>来启动它,但是根据上面的假设,这会授予Web服务访问networking资源的权限吗? 不应该input这个用户的密码吗?
每当我使用sudo命令,我的环境variables都不会被保留下来。 我已经尝试通过删除env_reset规范来修改sudoers文件。 #Defaults env_reset 我也尝试使用env_keep添加我想要的envvariables。 Defaults env_keep += "DYLD_LIBRARY_PATH" 我正在使用Mac Snow Leopard。 有什么我失踪了吗?
我试图授予www-data组访问sudo下的某些命令(即重新启动Apache),我没有运气。 我花了大多数星期五来看这个问题,必须看20个论坛post,SO / SF线程有关的问题,没有运气。 以下是我的sudoers文件(通过visudo编辑)。 # # This file MUST be edited with the 'visudo' command as root # # Please consider adding local content in /etc/sudoers.d/ instead of # directly modifying this file. # # See the man page for details on how to write a sudoers file. Defaults !requiretty Defaults env_reset Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:$ […]
..任何时候我通过NRPE运行sudo ,我在/var/log/secure得到以下消息,我无法弄清楚如何解决它。 sudo: PAM audit_log_acct_message() failed: Permission denied 请指教。 *更新* [root@XXXXX ~]# ausearch -m avc -ts today | tail type=SYSCALL msg=audit(1381429383.104:128936): arch=c000003e syscall=44 success=no exit=-13 a0=8 a1=7fffd40dfac0 a2=8 a3=0 items=0 ppid=24708 pid=24711 auid=4294967295 uid=0 gid=496 euid=0 suid=0 fsuid=0 egid=496 sgid=496 fsgid=496 tty=(none) ses=4294967295 comm="sudo" exe="/usr/bin/sudo" subj=system_u:system_r:nrpe_t:s0 key=(null) type=AVC msg=audit(1381429383.104:128936): avc: denied { sendto } for […]
在我的Red Hat服务器上的/etc/sudoers文件中,我有这样一行: %webdevgroup ALL=NOPASSWD: /bin/chmod * /home/http/* 这显然是一个坏主意,因为有人可以这样做: sudo /bin/chmod 777 /home/http/../../etc/sudoers 有没有一种更安全的方式来实现这个function,而不必打开服务器到这个安全漏洞?
即时制作像sudo脚本,这个想法是,sudofunction将运行一个scriptblock在海拔。 我遇到了麻烦的stringvariables,我通过该脚本块。 就像双打引号消失。 我的方法有什么问题? 这是代码。 function sud([ScriptBlock]$SomeCode){ $here = Get-Location; Start-Process Powershell -Verb Runas -ArgumentList "-command &{cd $here; $SomeCode}" } 我想运行这样的命令: $var ="Path" $newpath = $env:path + ";c:\somedir" $target = "Machine" sud -somecode { [Environment]::SetEnvironmentVariable($var, $newpath, $target)} 为了testing目的,可以将参数-noexit添加到参数列表中。 Start-Process Powershell -Verb Runas -ArgumentList "-noexit","-command &{cd $here; $SomeCode}"
如果我在这里错过了一个答案,我很抱歉。 但我做了这个谷歌,找不到一个简单的答案。 我想启用apache用户作为另一个用户运行命令,但是当我这样做: echo "PASSWORD" | sudo -u another_user -S echo "X" 在PHP脚本中 ,我得到: [sudo] password for apache: apache用户没有密码,所以我不能只输出它来运行sudo 。 任何方式我可以启用apache用户运行sudo的another_user帐户下的一组特定的命令没有密码? PS:我现在有 apache ALL=(yourhost) /usr/bin/git –git-dir=/* –work-tree=/* pull origin master 在我的sudoers文件。
我有一些非特权的“angular色账户”需要能够查看本地系统日志(例如/var/log/messages )的某些内容以进行debugging。 这是明确的本地日志数据,而不是远程syslog,logstash等。显然,有几种方法可以解决这个问题。 我想知道的是,如果有一个相当“标准化”的方式来解决这个问题。 通常情况下,我使用sudo解决了这个问题,但POSIX组或acls很有吸引力,因为用户input的字符很less,并且会从sudo日志中删除条目。 不过,我不相信我曾经见过。 你有什么经验? 大型安装基站如何解决这个问题?
我得到了可怕的sudo: must be setuid root即使/usr/bin/sudo的可执行文件拥有所有权root:root和mode 4755( -rwsr-xr-x ),也sudo: must be setuid root错误。 /etc/sudoers是模式440.我的用户是在sudoers与所有适当的设置。 我已经清除并重新安装了该软件包,但无济于事。 我最初没有configuration这台机器。 它的维护已经下降到默认情况下。 这种行为是否可能与PAM进行交互?如果是这样,我该如何解决? 该机器正在运行Debian 2.6.26-2-686 SMP内核。 没有写入/var/log/auth.log失败,所以它在这之前救援。 更新:这里的sudoers(删除了很多多余的注释行),但我很确定这不是问题。 Defaults env_reset Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:\ /usr/bin:/sbin:/bin" # Host alias specification # User alias specification User_Alias SUDOERS=david Defaults:SUDOERS !lecture,!authenticate # User privilege specification root ALL=(ALL:ALL) ALL %sudo ALL=(ALL:ALL) ALL SUDOERS ALL=(ALL:ALL) ALL 是的,我知道这太松懈了。 当我得到它的工作,我会收紧它。 据我所知,它甚至从来没有读到这个文件的阶段,但是当sudo进程本身试图升级它的用户ID时就死掉了。 […]