อนุญาตให้กลุ่มที่ไม่ใช่ sudo ควบคุมงานพุ่งพรวด

ฉันพยายามที่จะตั้งค่าการงานพุ่งพรวดในการทำงานในการเริ่มต้นระบบและที่ยังสามารถเริ่มต้น / sudoหยุดโดยสมาชิกของกลุ่มอื่นที่ไม่ใช่ ด้วยเวอร์ชันก่อนหน้านี้ฉันใช้update-rc.dและสคริปต์ที่เก็บไว้/etc/init.d/เพื่อให้ทำงานได้โดยการเพิ่ม%Group ALL = NOPASSWD: /etc/init.d/scriptnameไฟล์ sudoers ของฉัน แต่ดูเหมือนว่าฉันจะไม่สามารถทำงานได้เทียบเท่ากับการพุ่งพรวด

ฉันพยายามเพิ่ม%Group ALL = NOPASSWD: /sbin/initctl start jobnameไฟล์ sudoers แต่พยายามเรียกใช้คำสั่งstart jobnameสร้างข้อผิดพลาดนี้:

start: Rejected send message, 1 matched rules; type="method_call", sender=":1.21" (uid=1000 pid=5148 comm="start jobname " interface="com.ubuntu.Upstart0_6.Job" member="Start" error name="(unset)" requested_reply="0" destination="com.ubuntu.Upstart" (uid=0 pid=1 comm="/sbin/init")

ใกล้ที่ฉันสามารถบอกได้ว่าเป็นเรื่องร้องเรียนเกี่ยวกับวิธีที่บัญชีผู้ใช้ของฉันไม่ได้รับอำนาจในการส่งข้อความ 'เริ่ม' ในไฟล์กำหนดค่า D-Bus สำหรับการเริ่มต้น ฉันไม่สามารถค้นหาข้อมูลใด ๆ เกี่ยวกับวิธีแก้ไขไฟล์นั้นเพื่อให้สิทธิ์กลุ่มในการเข้าถึงบริการเฉพาะ - ตัวเลือกดังกล่าวมีอยู่จริงหรือไม่? มีวิธีแก้ไขไฟล์ Sudoers หรือไม่เพื่อให้ฉันสามารถเรียกใช้งานได้โดยไม่ต้องแก้ไขไฟล์ config? ฉันดีกว่าแค่ติดกับรุ่นก่อนหน้าใช่ไหม

คุณสามารถเริ่มต้นด้วยการค้นหาว่าการกำหนดค่า D-Bus เฉพาะสำหรับการพุ่งพรวดเป็นอย่างไร เห็นdestination="com.ubuntu.Upstart"ข้อมูลโค้ดนั้นจากข้อความแสดงข้อผิดพลาดหรือไม่ ทีนี้ลอง grep ลงในโฟลเดอร์ที่มีไฟล์กำหนดค่า D-Bus:

vhost07:~ $ grep -r "com.ubuntu.Upstart" /etc/dbus-1
/etc/dbus-1/system.d/Upstart.conf:    <allow own="com.ubuntu.Upstart" />
[...skipped...]

ว่าUpstart.confไฟล์มีตัวอย่างบางส่วนของนโยบาย ฉันเดาว่าคุณสามารถลองหารูปแบบของนโยบายจากพวกเขาได้ จากนั้นพยายามอนุญาตให้ผู้ใช้ของคุณเฉพาะการกระทำที่ต้องการ ตัวอย่างเช่นใน:

<policy user="pope_benedict">
  <allow send_destination="com.ubuntu.Upstart"
         send_interface="com.ubuntu.Upstart0_6.Job"
         send_member="Start"/>
</policy>

สิ่งนี้ควรอนุญาตให้pope_benedictผู้ใช้เริ่มงานนั้น

โปรดทราบว่าค่าสำหรับแอตทริบิวต์นโยบาย 'อนุญาต' แสดงอยู่ในข้อความแสดงข้อผิดพลาดเดิมของคุณ

ฉันใช้บรรทัดต่อไปนี้เป็นการส่วนตัวในไฟล์ /etc/sudoers.d/jobname_myuser:

myuser ALL = (root) NOPASSWD: /sbin/start jobname, /sbin/stop jobname, /sbin/restart jobname, /sbin/status jobname

ตามที่อธิบายไว้ที่นี่: /server//a/390723/68608

ตัวเลือกดังกล่าวไม่มีอยู่ใน sudo

ความแตกต่างระหว่างสคริปต์ Sysv และไฟล์การตั้งค่าแบบพุ่งพรวดคือ: สคริปต์ Sysv เป็นสคริปต์ไฟล์สั่งการในแบบของตนเองและคุณสามารถบอก sudo เพื่อให้กลุ่มบางกลุ่มสามารถเรียกใช้งานได้ ในอีกทางหนึ่งไฟล์กำหนดค่าพุ่งพรวดเป็นเพียงไฟล์กำหนดค่าไม่ใช่ไฟล์ปฏิบัติการดังนั้นการดำเนินการstart(symlink to initctl) จึงเป็นสิ่งที่ sudo อนุญาต ปัญหาของคุณที่นี่คือการอนุญาตให้ผู้คนเรียกใช้initctlคุณอนุญาตให้พวกเขาinitctlทุกอย่าง

การแก้ปัญหานั้นง่ายหากคุณกังวลในงานเดียว เขียนสคริปต์พูด/usr/bin/jobname.shด้วย

#!/bin/sh
initctl $1 jobname

จากนั้นchmod 755 /usr/bin/jobname.shและในที่สุดก็เพิ่มไฟล์ที่เรียกใช้ลงในไฟล์ sudoers ของคุณ:

%Group ALL = NOPASSWD: /usr/bin/jobname.sh

ด้วยวิธีนี้ทุกคนสามารถโทรjobname.sh startหรือjobname.sh stopเพื่อควบคุมงานเฉพาะนี้ คุณอาจต้องการเพิ่มการตรวจสอบบางอย่างเพื่ออนุญาตเฉพาะstartและstopพารามิเตอร์อื่น ๆ

ตามที่กล่าวไว้ข้างต้น dbus daemon มีไฟล์กำหนดค่าที่เชี่ยวชาญสำหรับแอปพลิเคชันเฉพาะ

ls /etc/dbus-1/system.d/
avahi-dbus.conf
bluetooth.conf
...
Upstart.conf
wpa_supplicant.con

ไฟล์การกำหนดค่ายังสร้างข้อ จำกัด ทรัพยากรพารามิเตอร์ความปลอดภัยและอื่น ๆ

ดูรายละเอียดได้ที่dbus-daemon-1 (1) - หน้า man Linux

เพื่อให้กลุ่มเริ่ม / หยุดงานพุ่งพรวดเพิ่มนโยบายต่อไปนี้ใน /etc/dbus-1/system.d/Upstart.conf

  <policy group="YourGroupName">
    <allow send_destination="com.ubuntu.Upstart"
       send_interface="com.ubuntu.Upstart0_6.Job"
       send_type="method_call" send_member="Start" />
    <allow send_destination="com.ubuntu.Upstart"
       send_interface="com.ubuntu.Upstart0_6.Job"
       send_type="method_call" send_member="Stop" />
  </policy>

คุณควรพิจารณาถึงผลกระทบด้านความปลอดภัยของนโยบายดังกล่าวก่อนเปลี่ยนนโยบายเริ่มต้น สมาชิกของYourGroupNameจะสามารถเริ่ม / หยุดงานพุ่งพรวดทั้งหมดได้