Есть ли способ разрешить пользователю выполнять команды только в течение 2 дней

13

Как дать разрешение команде sudo на определенное время? Есть ли способ дать права на выполнение определенной команды в течение 2 дней только в файле sudoers.?

Аббас Капаси
источник

Ответы:

18

Файл sudoers не поддерживает ограничение по времени, но есть простой способ. Создайте файл с вашими изменениями в /etc/sudoers.d/sudo visudo -f /etc/sudoers.d/yourfile):

Добавьте в файл (пример:) file.shследующее

mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile

И это отключит ваши изменения:

 sudo at -f file.sh 2pm + 2 days

Пример:

at -f file.sh 2pm + 2 days
warning: commands will be executed using /bin/sh
job 4 at Thu Oct 15 14:00:00 2015

В этом случае он переместит файл в 2 часа дня через 2 дня после того, как вы введете команду. В at руководстве есть несколько параметров (вы можете использовать время, дни, недели, месяцы, годы, ключевые слова, такие как следующий или добавить / вычесть периоды). Проведите несколько тестов с возможностью убедиться, что вы понимаете это (что нужно учитывать: важно, начнете ли вы atдо или после 2 часов дня в день).

atтакже переживает перезагрузки, поэтому является хорошим инструментом для такого рода вещей. И вы можете переключить доступ ...

sudo mv /etc/sudoers.d/.yourfile /etc/sudoers.d/yourfile | at 2pm + 2 days
sudo mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile | at 2pm + 4 days
sudo mv /etc/sudoers.d/.yourfile /etc/sudoers.d/yourfile | at 2pm + 6 days
sudo mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile | at 2pm + 8 days

и заставить этого пользователя сходить с ума (теперь я могу это сделать).

README в /etc/sudoers/:

# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
# 
#   #includedir /etc/sudoers.d
# 
# This will cause sudo to read and parse any files in the /etc/sudoers.d 
# directory that do not end in '~' or contain a '.' character.
# 
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
# 
# Note also, that because sudoers contents can vary widely, no attempt is 
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable 
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.

Если я прочитал это правильно, он не будет выполнять ни один файл с "." где-нибудь в имени. Поэтому в 1-й mvкоманде я поставил «.» впереди делает его также невидимым. Если правильно предположить, вы можете поместить "." куда угодно. Осторожно с «~», он используется в качестве функции «резервного копирования» редакторами, такими как gEdit.


atне устанавливается по умолчанию. Установить

sudo apt-get install at
Rinzwind
источник
Спасибо, я уже думал об этом, но ситуация заключается в том, что несколько пользователей используют файл для своих собственных целей, поэтому невозможно выполнять резервное копирование и восстановление файла sudoers каждый раз, когда другие пользователи также изменяют один и тот же файл sudoers, поэтому при восстановлении старого файла все файлы изменения, сделанные другими пользователями,
пропадут
2
Как насчет этого, сэр? Да, и могу ли я предложить вашим нескольким пользователям также использовать sudoers.d с их собственным именем файла. Кажется, намного лучше, чем редактирование sudoers.
Rinzwind
@AbbasKapasi создайте новый файл /etc/sudoers.d, который не будет использоваться вашими другими пользователями.
Муру
Я думаю, что команда, использованная во всем ответе, должна была быть mv, а не cp.
Ктулху
3
где вы видите cp? свистит невинно
Rinzwind