Włącz sudo bez hasła jako określony użytkownik


26

Mam w systemie dwóch użytkowników: itsadokmojego głównego użytkownika oraz elasticsearchużytkownika z innym ulimitem do uruchamiania ElasticSearch.

Chciałbym móc uruchamiać rzeczy jako dodatkowy użytkownik bez konieczności każdorazowego pytania o hasło.

Dodałem następujący wiersz do /etc/sudoers:

itsadok ALL=(elasticsearch:elasticsearch) NOPASSWD: ALL

W moim rozumieniu powinno to umożliwić użytkownikowi jegoadok na dowolnym hoście uruchomienie dowolnej komendy jako wyszukiwania elastycznego (użytkownika lub grupy) bez hasła. Jednak próbowanie czegoś takiego

itsadok@dev001$ sudo -u elasticsearch ls

monituje mnie o hasło. Ponowne uruchomienie maszyny nie pomogło.

Co ja robię źle?

AKTUALIZACJA :

Okazuje się, że kolejność linii sudoersjest znacząca. Umieściłem wiersz w „Specyfikacji uprawnień użytkownika”, co brzmiało jak właściwe miejsce, ale wiersz dla %admingrupy, która później pojawi się, przesłania to ustawienie.

Umieszczenie tej samej linii na końcu pliku sudoers rozwiązało problem.

Odpowiedzi:


12

Poprawiona odpowiedź z komentarzy: jeśli umieścisz poniżej dyrektywy #includedir, zostaną one zignorowane. Przenieś linię obok definicji sudolub admingrupy lub umieść ją w osobnym pliku w /etc/sudoers.d/.


Nie działało Ponadto plik już nie zawierał root ALL=(ALL:ALL) ALLspacji wokół dwukropka, więc nie wydaje się to właściwe. Dla bezpieczeństwa, próbowałem właśnie (elasticsearch). Nie działa
itsadok

Masz rację, to działa bez białych znaków przynajmniej w 12.10. Którego Ubuntu używasz i gdzie dokładnie sudoersumieszczasz tę linię? Mam słabe wspomnienie, że jeśli na starszych systemach umieściłeś linię po raz pierwszy #includedir, została zignorowana. Jeśli plik znajduje się na końcu pliku, spróbuj wstawić go nad załączony plik.
Tuminoid

1
Twój komentarz ustawił mnie na właściwej drodze: kolejność wpisów ma znaczenie. Późniejsze ustawienia zastępują wcześniejsze ustawienia.
itsadok

16

Wykonaj następujące kroki:

  1. Edytuj plik sudoers (może być obecny w /etc/sudoers.d/nazwa_pliku)
sudo visudo -f /etc/sudoers
  1. Dodaj wiersz na końcu pliku
usernameusedforlogin ALL=(ALL) NOPASSWD:ALL
  1. Zapisz plik
esc :wq!

To pozwala użytkownikowi uruchamiać wszystkie polecenia na wszystkich hostach bez haseł jak każdy użytkownik, ale nie przyznaje żadnych uprawnień grupowych, co było częścią pierwotnego pytania. Zasadniczo jest to zła rada, ponieważ dajesz użytkownikowi bardzo szerokie uprawnienia.
d4nyll
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.