sudo 在某些命令上不起作用

tag-icon tag-icon linux debian sudo rbac
sudo 在某些命令上不起作用

我在 Debian 8 上遇到了一个相当奇怪的问题sudo。用户无法执行中的某些命令/etc/sudoers.d。我使用 Chef 来分发配置,因此所有文件都是自动生成的。

例子:

这个配置很好用

root@server:~# cat /etc/sudoers.d/nginx 
# This file is managed by Chef.
# Do NOT modify this file directly.

user  ALL=(root) NOPASSWD:/usr/sbin/nginx

但失败了:

root@server:~# cat /etc/sudoers.d/update-rc.d 
# This file is managed by Chef.
# Do NOT modify this file directly.

user  ALL=(root) NOPASSWD:/usr/sbin/update-rc.d

user@www42:~$ sudo update-rc.d 
[sudo] password for user: 
Sorry, user user is not allowed to execute '/usr/sbin/update-rc.d' as root on server.

什么可能出错?

诊断:

Mar  5 12:12:51 server sudo:    user : command not allowed ; TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/usr/sbin/update-rc.d
Mar  5 12:14:25 www42 su[1209]: pam_unix(su:session): session closed for user user

root@server:~# sudo --version
Sudo version 1.8.10p3
Configure options: --prefix=/usr -v --with-all-insults --with-pam --with-fqdn --with-logging=syslog --with-logfac=authpriv --with-env-editor --with-editor=/usr/bin/editor --with-timeout=15 --with-password-timeout=0 --with-passprompt=[sudo] password for %p:  --disable-root-mailer --with-sendmail=/usr/sbin/sendmail --with-rundir=/var/lib/sudo --mandir=/usr/share/man --libexecdir=/usr/lib/sudo --with-sssd --with-sssd-lib=/usr/lib/x86_64-linux-gnu --with-selinux --with-linux-audit
Sudoers policy plugin version 1.8.10p3
Sudoers file grammar version 43

答案1

问题在于update-rc.d(in /etc/sudoers.d/update-rc.d); 中的点man sudo

#includedir 指令可用于创建 sudo.d 目录,系统包管理器可以在包安装过程中将 sudoers 规则放入该目录。例如,给定:

#includedir /etc/sudoers.d

sudo 将读取 /etc/sudoers.d 中的每个文件,跳过文件名以 ~ 结尾或包含 . 字符以避免导致包管理器或编辑器临时/备份文件出现问题。

答案2

尝试并运行sudo -ll以获取适用于您的用户的命令/配置列表。

如果(似乎是这种情况)您的 update-rc.d 子句没有出现,您可以考虑调整您的 chef 配方以便每个用户部署一个 sudoers.d 文件,而不是多个。

您可能还会考虑是否有必要使用与组相关的 sudoers 文件。

这个问题的答案可能会有所帮助:https://askubuntu.com/questions/246455/how-to-give-nopasswd-access-to-multiple-commands-via-sudoers

相关内容