在我的 debian 机器上以 root 身份调用 dhclient 效果很好。但是,我也希望允许某些用户执行 dhclient。到目前为止,我已经尝试过这两个例子:
示例1:当普通用户呼叫时
user@box:~$ dhclient
...,结果是:
bash: dhclient: command not found
示例2:我也尝试过
user@box:~$ /sbin/dhclient
...,并得到
[...]
can't create /var/lib/dhcp3/dhclient.leases: Permission denied
SIOCSIFADDR: Permission denied
SIOCSIFFLAGS: Permission denied
SIOCSIFFLAGS: Permission denied
Open a socket for LPF: Operation not permitted
现在...我感觉对用户访问的整个 /sbin 目录进行 chmod 既不是一个好主意(也不会起作用),对上面第二个示例中 dhclient 抱怨的所有内容进行 chmod 似乎也不优雅。解决这个问题的最佳和最安全的方法是什么?
答案1
安装并使用sudo。这是做这些事情的一种最明智的方式。dhclient确实需要root权限,没有办法解决。
允许特定用户以 root 权限执行单个命令。这可以在/etc/sudoers如下文件中配置(使用 编辑visudo):
Cmnd_Alias DHCP = /usr/sbin/dhclient
User_Alias DCHPUSERS = millert, mikef, dowdy
DCHPUSERS ALL = NOPASSWD: DHCP
以上只是配置 sudo 的一种方法。如果您有很多这样的用户需要管理,我建议使用本地用户组而不是指定单个用户。
答案2
我知道这个问题已经得到了回答,但我在搜索时发现了这个问题,并且建议的答案不适合我的情况。
我通过为 dhcpd 二进制文件赋予特殊功能,设法以普通用户身份运行 dhcpd:
sudo setcap CAP_NET_BIND_SERVICE,CAP_NET_RAW=+ep $(which dhcpd)
以下是属性功能的简短描述:
CAP_NET_BIND_SERVICE allows binding ports lower than 1024
CAP_NET_RAW allows using RAW and Packet sockets and address binding (for LPF socket).
请参阅man capabilities参考资料 的详细描述。后来我能够运行 dhcpd,如下所示:
Triglav-Control-Engine-1v1% sudo setcap CAP_NET_BIND_SERVICE,CAP_NET_RAW=+ep $(which dhcpd)
Triglav-Control-Engine-1v1% dhcpd -4 -f -d -s 169.254.13.1 -cf dhcpd.conf -lf leases
Internet Systems Consortium DHCP Server 4.3.4
Copyright 2004-2016 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Config file: dhcpd.conf
Database file: /home/roosemberth/.config/dhcpd/leases
PID file: /var/run/dhcpd.pid
Source compiled to use binary-leases
Wrote 0 leases to leases file.
Listening on LPF/enp0s31f6/<MAC>/169.254.13.0/24
Sending on LPF/enp0s31f6/<MAC>/169.254.13.0/24
Sending on Socket/fallback/fallback-net
Can't create PID file /var/run/dhcpd.pid: Permission denied.
Server starting service.
DHCPDISCOVER from 50:7b:9d:af:e8:59 via enp0s31f6