进一步阅读

Question 1

仅覆盖 runit 和 sudo 会遗漏很多内容。实际上有像 runit 这样的一整套工具集，并且有多种工具可以用来完成此任务，而这些工具正是为这些任务而设计的：

Daniel J. Bernstein 的 daemontools 有setuidgid:
```
设定值用户/家/用户/非特权.sh
```

util-linux（在较新的 Debian 上默认安装）有setpriv:

setpriv --reuid=用户--regid=团体--init-groups --inh-caps=-all /home/用户/非特权.sh

Adam Sampson 的 freedt 具有setuidgid：
```
设定值用户/家/用户/非特权.sh
```
Bruce Guenter 的 daemontools-encore 有setuidgid:
```
设定值用户/家/用户/非特权.sh
```
Gerrit Pape 的 runit 有chpst:
```
chpst-u用户/家/用户/非特权.sh
```

韦恩·马歇尔的犯人有runuid:

运行用户ID用户/家/用户/非特权.sh

Laurent Bercot 的 s6 有s6-setuidgid:

s6-setuidgid用户/家/用户/非特权.sh

我的小吃有setuidgid:
```
设定值用户/家/用户/非特权.sh
```

他们不混合在不同的的任务添加特权，并且永远不会陷入交互模式。

顺便说一句，你附加的问题只不过是你忘记拥有sbin以及bin你的。PATH

进一步阅读

乔纳森·德博因·波拉德 (2014)。不要滥用 su 来删除用户权限。常见答案。

Answer

仅覆盖 runit 和 sudo 会遗漏很多内容。实际上有像 runit 这样的一整套工具集，并且有多种工具可以用来完成此任务，而这些工具正是为这些任务而设计的：

Daniel J. Bernstein 的 daemontools 有setuidgid:
```
设定值用户/家/用户/非特权.sh
```

util-linux（在较新的 Debian 上默认安装）有setpriv:

setpriv --reuid=用户--regid=团体--init-groups --inh-caps=-all /home/用户/非特权.sh

Adam Sampson 的 freedt 具有setuidgid：
```
设定值用户/家/用户/非特权.sh
```
Bruce Guenter 的 daemontools-encore 有setuidgid:
```
设定值用户/家/用户/非特权.sh
```
Gerrit Pape 的 runit 有chpst:
```
chpst-u用户/家/用户/非特权.sh
```

韦恩·马歇尔的犯人有runuid:

运行用户ID用户/家/用户/非特权.sh

Laurent Bercot 的 s6 有s6-setuidgid:

s6-setuidgid用户/家/用户/非特权.sh

我的小吃有setuidgid:
```
设定值用户/家/用户/非特权.sh
```

他们不混合在不同的的任务添加特权，并且永远不会陷入交互模式。

顺便说一句，你附加的问题只不过是你忘记拥有sbin以及bin你的。PATH

进一步阅读

乔纳森·德博因·波拉德 (2014)。不要滥用 su 来删除用户权限。常见答案。

Question 2

我用运行的chpst工具来完成此类任务。例如，从 up 脚本调用您的非特权脚本：

chpst -u nobody /path/to/script

Answer

我用运行的chpst工具来完成此类任务。例如，从 up 脚本调用您的非特权脚本：

chpst -u nobody /path/to/script

Question 3

在基于 Linux 的系统上，您可以setpriv（从util-linux）：

setpriv --reuid=1000 --regid=1000 --init-groups COMMAND [ARGUMENTS...]  # Like su/runuser/sudo
setpriv --reuid=1000 --regid=1000 --clear-groups COMMAND [ARGUMENTS...]  # Like daemontools setuid(8)

使用runuser如果需要 PAM 会话（也来自util-linux)：

runuser -u USER [--] COMMAND [ARGUMENTS...]

来自su手册页：

苏主要是为非特权用户设计的，对于特权用户（例如root执行的脚本）推荐的解决方案是使用non-set-user-ID命令运行用户(1)不需要身份验证并提供单独的 PAM 配置。如果根本不需要 PAM 会话，那么推荐的解决方案是使用命令设置权限(1)。

Answer

在基于 Linux 的系统上，您可以setpriv（从util-linux）：

setpriv --reuid=1000 --regid=1000 --init-groups COMMAND [ARGUMENTS...]  # Like su/runuser/sudo
setpriv --reuid=1000 --regid=1000 --clear-groups COMMAND [ARGUMENTS...]  # Like daemontools setuid(8)

使用runuser如果需要 PAM 会话（也来自util-linux)：

runuser -u USER [--] COMMAND [ARGUMENTS...]

来自su手册页：

苏主要是为非特权用户设计的，对于特权用户（例如root执行的脚本）推荐的解决方案是使用non-set-user-ID命令运行用户(1)不需要身份验证并提供单独的 PAM 配置。如果根本不需要 PAM 会话，那么推荐的解决方案是使用命令设置权限(1)。

Question 4

关于什么：

sudo -Eu <user> <command>

您在之前的评论中抱怨了环境，因此您还可以比较输出之间的差异：

sudo -u <user> printenv
sudo -Eu <user> printenv

Answer

关于什么：

sudo -Eu <user> <command>

您在之前的评论中抱怨了环境，因此您还可以比较输出之间的差异：

sudo -u <user> printenv
sudo -Eu <user> printenv

进一步阅读

答案1

进一步阅读

答案2

答案3

答案4

相关内容