студия открытых решений о-никс
<< SSH без пароля Удаление файлов по дате >>

sudo без пароля

Команда sudo позволяет выполнять команды, скрипты и программы одному пользователю от имени другого, даже и от root, в том числе и без ввода пароля текущего пользователя. И в то же время утилита sudo благодаря списку sudoers позволяет разграничивать права пользователей на запуск только разрешенных команд или скриптов от имени других, что весьма важно для безопасности системы.

Возможность выполнять команды от имени другого пользователя без ввода пароля через sudo может пригодиться в скриптах.

Рассмотрим живой пример: необходимо от пользователя zabbix одноименной системы мониторинга запускать скрипт отсылки sms, расположенный на другом хосте. Для этого пользователь zabbix может входить на другой хост по ssh без пароля, но поскольку домашний каталог пользователя zabbix расположен в служебном каталоге /var/run, возникает проблема с сохранностью ssh-ключей в этом каталоге после перезагрузки сервера.

Поэтому проще всего из скрипта, выполняемого от имени zabbix, выполнить команду входа по SSH на другой хост от другого пользователя текущего хоста, например, пользователя sms:

sudo -u sms /usr/bin/ssh root@host2 "/root/.sms/zabbix.sms '$1' '$2' '$3' '$time'"

Для того, чтобы пользователю zabbix разрешить запускать сеанс SSH от имени пользователя sms, необходимо отредактировать файл /etc/sudoers с помощью команды visudo:

visudo

Добавляем в конец файла /etc/sudoers строки:

User_Alias ZABBIX = zabbix
User_Alias SMS = sms

Cmnd_Alias SSH = /usr/bin/ssh
Runas_Alias SMS = sms

zabbix ALL = (SMS) NOPASSWD: SSH

Теперь пользователь zabbix может без запроса своего пароля запустить сеанс SSH от имени пользователя sms.

В общем случае, если вы хотите разрешить запуск любых команд пользователя kamikadze от имени пользователя root без пароля, нужно добавить в файл /etc/sudoers следующую строку:

kamikadze	ALL=(ALL) 	NOPASSWD: ALL

Теперь при вводе любой команды через sudo она будет выполняться с привилегиями root, даже не запрашивая у вас пароль! Будьте аккуратны - это большая прореха в безопасности системы, и без особой необходимости лучше обходиться без этого!

 

<< SSH без пароля Удаление файлов по дате >>

Поделиться в соцсетях:

система комментирования CACKLE
RSS