Дозволити складну команду sudo на Debian Linux

Мені потрібно дозволити певну команду на вікні Debian Linux для одного користувача. Я спробував це у /etc/sudoersфайлі:

# User privilege specification
zabbix  ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'

Це не працює, як очікувалося. Якщо я запускаю команду як користувач zabbix з sudo, вона запитує пароль (хоча я вказав NOPASSWDваріант).

Однак це працює:

# User privilege specification
zabbix  ALL=NOPASSWD: /usr/bin/apt-get

Але є недоліком того, що всі підкоманди apt-getдозволені. Чи є спосіб, як я можу це виправити, щоб дозволити лише певну команду?

Я не згоден з проляганням. Хоча це буде працювати, Вам не потрібно awkзапускати як root. Мені це би не було комфортно, тому що ти можеш awkякимось чином напасти . Зрештою, це повноцінний перекладач мови програмування.

Коли хтось працює sudo /usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}', вони фактично запущені, sudo /usr/bin/apt-get --print-uris -qq -y upgradeа потім переходять до системи / переадресації як користувач, що телефонує.

Спробуйте це: zabbix ALL=NOPASSWD: /usr/bin/apt-get --print-uris -qq -y upgrade

До речі, немає нічого поганого в тому, щоб помістити це в сценарій, як це робиться Lain, і ви все ще могли це зробити. Я просто уникав би запускати awk як root.

Ви, мабуть, збиваєтесь із того, як перенаправлення взаємодіє із судо. Перенаправлення виконується у виклику користувача, який не є привілейованим користувачем. Вам, мабуть, буде простіше, якщо ви загорнете команду в сценарій, а потім дозволите користувачеві zabbix запускати цей сценарій, наприклад

#!/bin/bash
/usr/bin/apt-get --print-uris -qq -y upgrade 2>/dev/null |awk '{print $2}' | wc | awk '{print $1}'

набір sudoers як

zabbix  ALL=NOPASSWD: /path/to/script

Тепер весь сценарій буде виконуватись як привілейований користувач, а не лише конкретна команда apt-get. Хоча переконайтеся, що користувач zabbix не може записати сценарій.