允许用户在没有 sudo 的情况下更改特定文件的文件所有权

Question 1

您必须编写一个脚本来检查条件，然后授予用户sudo访问权限那脚本本身。例如：

#! /bin/bash
set -e
die()
{
    printf "%s\n" "$@"
    exit 1
}

if [[ $EUID != 0 ]]
then
    die "This script must be run with sudo."
fi

DEFAULT_USER=nobody
SOURCE_DIR=/some/dir

cd "$SOURCE_DIR"

# Get path of file relative to the source directory
# Then we can check if it is actually in the directory.
FILE=$(realpath -e --relative-base="$SOURCE_DIR" "${1?}")    
if [[ $FILE == /* ]]
then
    die "$1 is outside $SOURCE_DIR."
fi

FILE_OWNER=$(stat -c %U "$FILE")

case $FILE_OWNER in
    $DEFAULT_USER)
        # checkout
        echo "Checking out $FILE..."
        chown "$SUDO_USER" "$FILE"
        ;;
    $SUDO_USER)
        # checkin
        echo "Checking in $FILE..."
        chown nobody "$FILE"
        ;;
    *)
        die "Sorry, this file is checked out by $FILE_OWNER."
        ;;
esac

将其另存为，例如，/usr/local/bin/check添加以下sudoers规则：

%dev ALL = (root) /usr/local/bin/check

这是假设：

开发人员都在该dev组中（如果不是，请相应地使用用户名或组）。
文件在中/some/dir。请进行$SOURCE_DIR相应修改。
默认用户为nobody，未选中的文件归默认用户所有。
除 root 之外，没有人对源目录具有写权限。

然后开发人员可以执行以下操作：

sudo check some/file

进行签出/some/dir/some/file，然后再次运行以进行签入。

Answer

您必须编写一个脚本来检查条件，然后授予用户sudo访问权限那脚本本身。例如：

#! /bin/bash
set -e
die()
{
    printf "%s\n" "$@"
    exit 1
}

if [[ $EUID != 0 ]]
then
    die "This script must be run with sudo."
fi

DEFAULT_USER=nobody
SOURCE_DIR=/some/dir

cd "$SOURCE_DIR"

# Get path of file relative to the source directory
# Then we can check if it is actually in the directory.
FILE=$(realpath -e --relative-base="$SOURCE_DIR" "${1?}")    
if [[ $FILE == /* ]]
then
    die "$1 is outside $SOURCE_DIR."
fi

FILE_OWNER=$(stat -c %U "$FILE")

case $FILE_OWNER in
    $DEFAULT_USER)
        # checkout
        echo "Checking out $FILE..."
        chown "$SUDO_USER" "$FILE"
        ;;
    $SUDO_USER)
        # checkin
        echo "Checking in $FILE..."
        chown nobody "$FILE"
        ;;
    *)
        die "Sorry, this file is checked out by $FILE_OWNER."
        ;;
esac

将其另存为，例如，/usr/local/bin/check添加以下sudoers规则：

%dev ALL = (root) /usr/local/bin/check

这是假设：

开发人员都在该dev组中（如果不是，请相应地使用用户名或组）。
文件在中/some/dir。请进行$SOURCE_DIR相应修改。
默认用户为nobody，未选中的文件归默认用户所有。
除 root 之外，没有人对源目录具有写权限。

然后开发人员可以执行以下操作：

sudo check some/file

进行签出/some/dir/some/file，然后再次运行以进行签入。

Question 2

你可以这样做，但我认为可能有专为这种协作而设计的更实用的解决方案。

无论如何，以下是要做的事情：

创建一个组，将用户添加到该组，并授予该组对父目录的写权限。然后他们将能够chown访问chmod该文件而无需使用sudo

示范：

sudo addgroup devs
sudo adduser zanna devs
sudo adduser pixie devs
mkdir development
chmod g+w development 
sudo chown root:devs development 
touch development/testfile
cd development
sudo chown root:devs testfile

设置已完成。让我们测试一下：

zanna@xubi:~/development$ chown $USER testfile
$ stat -C "%U %G" testfile
zanna devs
$ chmod 600 testfile
$ stat -c %a testfile
600
$ su pixie
[enter password...]
pixie@xubi:/home/zanna/development$ chown $USER testfile
$ stat -c %U testfile
pixie

等等......但这只有当人们在开始运行之前检查权限或尝试写入文件时才会起作用chown，chmod这可能不是直观的......如果他们对父目录具有写权限，他们将始终能够强制写入文件，尽管他们应该得到一些警告，这取决于他们使用的编辑器。

Answer

你可以这样做，但我认为可能有专为这种协作而设计的更实用的解决方案。

无论如何，以下是要做的事情：

创建一个组，将用户添加到该组，并授予该组对父目录的写权限。然后他们将能够chown访问chmod该文件而无需使用sudo

示范：

sudo addgroup devs
sudo adduser zanna devs
sudo adduser pixie devs
mkdir development
chmod g+w development 
sudo chown root:devs development 
touch development/testfile
cd development
sudo chown root:devs testfile

设置已完成。让我们测试一下：

zanna@xubi:~/development$ chown $USER testfile
$ stat -C "%U %G" testfile
zanna devs
$ chmod 600 testfile
$ stat -c %a testfile
600
$ su pixie
[enter password...]
pixie@xubi:/home/zanna/development$ chown $USER testfile
$ stat -c %U testfile
pixie

等等......但这只有当人们在开始运行之前检查权限或尝试写入文件时才会起作用chown，chmod这可能不是直观的......如果他们对父目录具有写权限，他们将始终能够强制写入文件，尽管他们应该得到一些警告，这取决于他们使用的编辑器。

Question 3

如果用户有能力运行以下sudo命令：

sudo bash

他将能够以 root 身份执行任何命令，包括chown针对任何文件执行的命令。

您可以配置/etc/sudoers允许特定用户运行特定命令

例如，您可以设置以下行/etc/sudoers：

user2 ALL=(ALL) NOPASSWD: /bin/chown
user2 ALL=(ALL) NOPASSWD: /bin/chmod

注意：如果有人有能力运行，chown并且他们可以轻松获得完全访问权限（例如通过编辑chmodrootroot/etc/passwd)

Answer