是否可以使用 sudo 或其他机制来允许用户只能访问另一个特定用户帐户下运行的命令? (即不是root?)
我必须通过在无 shell 帐户 www-data 下运行的 Web 工具提供某种级别的管理访问权限。但有时,能够将程序作为“www-data”运行以在 Web 服务器上执行管理工作可能会很有用。我不知道如何在限制他们访问根目录或其他服务的同时允许这样做。
答案1
是的 - 可以使用 来做到这一点sudo。从sudoers手册页:
A Runas_Spec sets the default for the commands that follow it. What this
means is that for the entry:
dgb boulder = (operator) /bin/ls, /bin/kill, /usr/bin/lprm
The user dgb may run /bin/ls, /bin/kill, and /usr/bin/lprm—but only as
operator.