允许非 sudo 组控制 Upstart 作业

Question 1

你可以先找出 Upstart 特有的 D-Bus 配置保存在哪里。看到destination="com.ubuntu.Upstart"错误消息中的那段代码了吗？现在尝试在包含 D-Bus 配置文件的文件夹中对其进行 grep：

vhost07:~ $ grep -r "com.ubuntu.Upstart" /etc/dbus-1
/etc/dbus-1/system.d/Upstart.conf:    <allow own="com.ubuntu.Upstart" />
[...skipped...]

该Upstart.conf文件包含一些策略示例。我想您可以尝试从中找出策略的格式。然后尝试仅允许您的特定用户执行其需要的操作。例如，如下所示：

<policy user="pope_benedict">
  <allow send_destination="com.ubuntu.Upstart"
         send_interface="com.ubuntu.Upstart0_6.Job"
         send_member="Start"/>
</policy>

这应该允许pope_benedict用户开始这项工作。

请注意，“允许”策略属性的值列在原始错误消息中。

Answer

你可以先找出 Upstart 特有的 D-Bus 配置保存在哪里。看到destination="com.ubuntu.Upstart"错误消息中的那段代码了吗？现在尝试在包含 D-Bus 配置文件的文件夹中对其进行 grep：

vhost07:~ $ grep -r "com.ubuntu.Upstart" /etc/dbus-1
/etc/dbus-1/system.d/Upstart.conf:    <allow own="com.ubuntu.Upstart" />
[...skipped...]

该Upstart.conf文件包含一些策略示例。我想您可以尝试从中找出策略的格式。然后尝试仅允许您的特定用户执行其需要的操作。例如，如下所示：

<policy user="pope_benedict">
  <allow send_destination="com.ubuntu.Upstart"
         send_interface="com.ubuntu.Upstart0_6.Job"
         send_member="Start"/>
</policy>

这应该允许pope_benedict用户开始这项工作。

请注意，“允许”策略属性的值列在原始错误消息中。

Question 2

我个人在 /etc/sudoers.d/jobname_myuser 文件中使用以下行：

myuser ALL = (root) NOPASSWD: /sbin/start jobname, /sbin/stop jobname, /sbin/restart jobname, /sbin/status jobname

如下所述：https://serverfault.com/a/390723/68608

Answer

我个人在 /etc/sudoers.d/jobname_myuser 文件中使用以下行：

myuser ALL = (root) NOPASSWD: /sbin/start jobname, /sbin/stop jobname, /sbin/restart jobname, /sbin/status jobname

如下所述：https://serverfault.com/a/390723/68608

Question 3

sudo 中不存在这样的选项。

Sysv 脚本和 Upstart 配置文件之间的区别仅在于：Sysv 脚本本身就是脚本、可执行文件，您可以告诉 sudo 允许某个组执行它们。另一方面，Upstart 配置文件仅仅是配置文件，而不是可执行文件，因此执行start(符号链接到initctl) 是 sudo 允许的。您的问题是，允许人们运行initctl您，就意味着允许他们做initctl任何事情。

如果你只关心一项工作，那么解决方案就很简单了。编写一个脚本，/usr/bin/jobname.sh例如

#!/bin/sh
initctl $1 jobname

然后chmod 755 /usr/bin/jobname.sh最后将该可执行文件添加到您的 sudoers 文件中：

%Group ALL = NOPASSWD: /usr/bin/jobname.sh

这样，每个人都可以调用jobname.sh start或jobname.sh stop控制这项特定工作。您可能需要添加一些检查以仅允许start和stop参数等。

Answer

sudo 中不存在这样的选项。

Sysv 脚本和 Upstart 配置文件之间的区别仅在于：Sysv 脚本本身就是脚本、可执行文件，您可以告诉 sudo 允许某个组执行它们。另一方面，Upstart 配置文件仅仅是配置文件，而不是可执行文件，因此执行start(符号链接到initctl) 是 sudo 允许的。您的问题是，允许人们运行initctl您，就意味着允许他们做initctl任何事情。

如果你只关心一项工作，那么解决方案就很简单了。编写一个脚本，/usr/bin/jobname.sh例如

#!/bin/sh
initctl $1 jobname

然后chmod 755 /usr/bin/jobname.sh最后将该可执行文件添加到您的 sudoers 文件中：

%Group ALL = NOPASSWD: /usr/bin/jobname.sh

这样，每个人都可以调用jobname.sh start或jobname.sh stop控制这项特定工作。您可能需要添加一些检查以仅允许start和stop参数等。

Question 4

如上所述，dbus 守护进程有一个专门用于特定应用程序的配置文件。

ls /etc/dbus-1/system.d/
avahi-dbus.conf
bluetooth.conf
...
Upstart.conf
wpa_supplicant.con

配置文件还建立资源限制、安全参数等等。

有关详细信息，请参阅dbus-daemon-1(1) - Linux 手册页

允许团体要启动/停止 Upstart 作业，请将以下策略添加到 /etc/dbus-1/system.d/Upstart.conf

  <policy group="YourGroupName">
    <allow send_destination="com.ubuntu.Upstart"
       send_interface="com.ubuntu.Upstart0_6.Job"
       send_type="method_call" send_member="Start" />
    <allow send_destination="com.ubuntu.Upstart"
       send_interface="com.ubuntu.Upstart0_6.Job"
       send_type="method_call" send_member="Stop" />
  </policy>

在更改默认策略之前，您应该考虑此类策略的安全隐患。您的群组名称将能够启动/停止全部新兴职位。

Answer