找出流程需要哪些能力

Question

正如 Gardenhead 提到的，如果不确切知道进程将要做什么，你就无法真正判断。您仍然有一些可行的选择，而且不会太麻烦：

选项1

创建一个新组（例如zfsgroup），将需要访问此命令的用户添加到该组中，并添加 sudoers 条目，例如%zfsgroup ALL = (ALL) NOPASSWD: /path/to/zpool，这将允许中的用户在zfsgroup没有密码提示的情况下运行 zpool 命令。除其他外，您还可以显式定义允许或不允许的子命令（例如，通过添加到上述内容中，, !/path/to/zpool destroy *允许除 destroy 之外的所有 zpool 命令）。请参阅man sudoers了解更多信息。

选项2

zfs allow可能是更好的选择，具体取决于您的具体需求。显然，它允许您为目标数据集上的特定用户设置权限（例如，创建、快照等），但它们只能在指定的目标内进行操作。这是一篇关于这个主题的好文章：委派 ZFS 权限我很确定大部分内容都适用于 Linux 实现，但请检查手册。只是看着兹夫斯(8)，我发现 allowed 子命令存在一些差异。

Answer 1

正如 Gardenhead 提到的，如果不确切知道进程将要做什么，你就无法真正判断。您仍然有一些可行的选择，而且不会太麻烦：

选项1

创建一个新组（例如zfsgroup），将需要访问此命令的用户添加到该组中，并添加 sudoers 条目，例如%zfsgroup ALL = (ALL) NOPASSWD: /path/to/zpool，这将允许中的用户在zfsgroup没有密码提示的情况下运行 zpool 命令。除其他外，您还可以显式定义允许或不允许的子命令（例如，通过添加到上述内容中，, !/path/to/zpool destroy *允许除 destroy 之外的所有 zpool 命令）。请参阅man sudoers了解更多信息。

选项2

zfs allow可能是更好的选择，具体取决于您的具体需求。显然，它允许您为目标数据集上的特定用户设置权限（例如，创建、快照等），但它们只能在指定的目标内进行操作。这是一篇关于这个主题的好文章：委派 ZFS 权限我很确定大部分内容都适用于 Linux 实现，但请检查手册。只是看着兹夫斯(8)，我发现 allowed 子命令存在一些差异。

找出流程需要哪些能力

答案1

相关内容