Jak sprawić, aby / sbin / shutdown, / sbin / reboot itp. Wymagały sudo ponownie w 16.04?

Z jakiegoś powodu, mamy nie muszą już być root (lub używając sudo), aby uruchomić /sbin/shutdown, /sbin/rebootetc.

Wydaje się, że dzieje się tak, ponieważ te pliki wykonywalne są teraz dowiązaniami symbolicznymi, z /bin/systemctlktórymi obsługuje wszystko jak zwykły użytkownik.

Co jednak, jeśli chcę shutdowni rebootponownie wymagać uwierzytelnienia roota? Jak mogę to osiągnąć?

Systemd rzeczywiście obsłużyć shutdown, rebooti inne polecenia, a przywileje przypisane domyślne są liberalne. Aby to zmienić, musisz utworzyć regułę Polkit. Utwórz .pklaplik w /etc/polkit-1/localauthority/50-local.d(powiedzmy confirm-shutdown.pkla) zawierający:

[Confirm shutdown]
Identity=unix-user:*
Action=org.freedesktop.login1.*
ResultActive=auth_admin_keep

Różne wyłączenie, restart, itp polecenia są pod względem polkit działania w org.freedesktop.login1, na przykład org.freedesktop.login1.power-off, org.freedesktop.login1.rebootitd Specyficzny problemem jest domyślna konfiguracja, która jest w /usr/share/polkit-1/actions/org.freedesktop.login1.policy:

<action id="org.freedesktop.login1.power-off">
        <description>Power off the system</description>
        ...
        <defaults>
                <allow_any>auth_admin_keep</allow_any>
                <allow_inactive>auth_admin_keep</allow_inactive>
                <allow_active>yes</allow_active>
        </defaults>

Pamiętaj, że pozwala to aktywnemu użytkownikowi na wyłączenie, ponowne uruchomienie itp.

Możesz użyć chmodpolecenia.

• Jeśli chcesz dać dostęp tylko do roota, możesz napisać:

  chmod 700 directory/to/the/file
  

• Jeśli chcesz zezwolić rootowi i grupie sudo, możesz napisać:

  chmod 770 directory/to/the/file
  

• Jeśli chcesz zmienić grupę plików z sudo na inną (jak użytkownik lub administratorzy), musisz wpisać:

  chown owner:group directory/to/the/file
  

• Jeśli chcesz cofnąć, uruchom:

  chown root:sudo filedirectory 
  

Uwaga : może być konieczne użycie sudotej komendy lub zalogowanie się na konto root

Ponieważ zmiana uprawnień do dowiązania symbolicznego w systemie Linux nie zmienia uprawnień do dowiązania, ale zamiast tego wskazuje plik (przynajmniej w Ubuntu). Myślę, że najbezpieczniejszym sposobem na to byłoby usunięcie linku i odtworzenie go z wymaganym umask, aby uzyskać pożądany wynik.

Kolejny powiązany post można znaleźć tutaj

Możesz utworzyć skrypt sprawdzający, czy użytkownik uruchamia go z uprawnieniami administratora, czy nie.
Następnie uruchomi polecenie systemctl lub zwróci błąd.

#! / bin / bash
if ["$ (whoami)"! = "root"]; następnie
    echo „Przepraszamy, nie jesteś rootem”.
    wyjście 1
jeszcze
    (polecenie zamknięcia systemu)
fi

Źródło

Spróbuj zmienić swoje uprawnienia w terminalu. Możesz sprawić, by był wykonywalny tylko przez określoną grupę, taką jak koło lub administrator. Niestety (a może na szczęście) plik może mieć tylko jedną własność grupy, więc chown po prostu nie działałby sam. Spróbuj „sudo chown root: wheel / sbin / shutdown”, a następnie „sudo chmod g + x / sbin / shutdown”. Spowoduje to, że plik będzie wykonywalny tylko przez roota i administratorów (wzdrygnie się), a sudoers będą musieli wprowadzić swoje hasła.