Openconnect 网站确实有一章叫做“以非 root 用户身份运行”。
openconnect然而,如果你仔细阅读它,你会发现它并没有回答如何以非 root 用户身份运行的问题。您需要以 root 身份调用/etc/vpnc/vpnc-script,或者需要使用ip工具,这也需要 root 访问权限。换句话说,您将需要以一种方式和另一种方式获得 root 访问权限。
然而,在一些合法的用例中,我们需要授予用户连接到 VPN 的能力,但我们仍然不希望他们拥有完全的 root 访问权限。
你如何应对?
答案1
这是一个非常不具体的答案,但您可以配置“sudo”等工具,以使特定用户能够使用特定更改的权限运行特定命令或脚本。因此,您可以允许用户 sudo 权限运行 openconnect,而无需使用 sudo 执行其他命令。
警告的话,给予用户 sudo 运行权限ip是无法保存的。它可用于获得通用 root shell,如中所述gtfobins。