সিস্টেমড: একটি নির্দিষ্ট পরিষেবা পরিবর্তন করতে একটি অনিবদ্ধ ব্যবহারকারীকে অনুমতি দিন

আমি একটি হেডলেস লিনাক্স বাক্সে একটি প্রাইভেট গেম সার্ভার চালাচ্ছি। যেহেতু আমি একজন নির্বোধ নই, বলেছে যে সার্ভারটি তার নিজের অপ্রতিযুক্ত ব্যবহারকারীর মতো চলছে যার খালি ন্যূনতম অ্যাক্সেস অধিকার রয়েছে যা আপডেটগুলি ডাউনলোড করতে এবং বিশ্বের ডাটাবেসটি সংশোধন করতে হবে।

প্রয়োজন অনুসারে সার্ভারটি যথাযথভাবে শুরু করতে, থামাতে এবং পুনরায় চালু করার জন্য আমি একটি সিস্টেমড ইউনিট ফাইলও তৈরি করেছি (উদাহরণস্বরূপ, আপডেটগুলির জন্য)।

যাইহোক, আসলে কল করতে systemctlবা service <game> start/stop/restartআমাকে এখনও মূল বা sudoসক্ষম ব্যবহারকারী হিসাবে লগ ইন করতে হবে।

সিস্টেমডকে কি বলার উপায় আছে যে <game>পরিষেবাটির জন্য, অনিবদ্ধ ব্যবহারকারীকে gamesrvস্টার্ট / স্টপ / রিস্টার্ট কমান্ডগুলি চালনার অনুমতি দেওয়া হয়েছে?

আমি এটি করার দুটি উপায় সম্পর্কে ভাবতে পারি:

একটি হ'ল সার্ভিসটিকে সিস্টেম পরিষেবাদির চেয়ে ব্যবহারকারী পরিষেবা হিসাবে তৈরি করা।

সিস্টেম ইউনিট তৈরির পরিবর্তে, সিস্টেমড ইউনিটটি পরিষেবা ব্যবহারকারীর হোম ডিরেক্টরিতে, এ স্থাপন করা হবে $HOME/.config/systemd/user/daemon-name.service। একই ব্যবহারকারীর তারপর পারেন সেবা পরিচালনা সঙ্গে systemctl --user <action> daemon-name.service।

বুট থেকে ব্যবহারকারী ইউনিটটি শুরু করার অনুমতি দেওয়ার জন্য , রুটটিকে অবশ্যই অ্যাকাউন্টের জন্য দীর্ঘতর সক্ষম করতে হবে sudo loginctl enable-linger username। ইউনিটটিও হতে হবে WantedBy=default.target।

অন্য উপায়টি হ'ল পলিসিকিটের মাধ্যমে ব্যবহারকারীকে সিস্টেম ইউনিট পরিচালনা করতে অ্যাক্সেসের অনুমতি দেওয়া। এর জন্য জাভাস্ক্রিপ্ট বিধিগুলির জন্য সিস্টেমযুক্ত 226 বা উচ্চতর (এবং পলিসিকিট> = 0.106 - ফাইলগুলি পরীক্ষা করে দেখুন pkaction --version) দরকার।

আপনি একটি নতুন পলিসিকিট কনফিগারেশন ফাইল তৈরি করবেন, উদাহরণস্বরূপ, /etc/polkit-1/rules.d/57-manage-daemon-name.rulesআপনি যে বৈশিষ্ট্যগুলির অনুমতি দিতে চান তা যাচাই করে। জন্য উদাহরণস্বরূপ :

// Allow alice to manage example.service;
// fall back to implicit authorization otherwise.
polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.systemd1.manage-units" &&
        action.lookup("unit") == "example.service" &&
        subject.user == "alice") {
        return polkit.Result.YES;
    }
});

নামযুক্ত ব্যবহারকারী তারপরে systemctlএবং ব্যবহার ছাড়াই নামযুক্ত পরিষেবা পরিচালনা করতে পারেন sudo।

sudoতার জন্য তৈরি আপনি অনিবদ্ধ ব্যবহারকারীকে ব্যবহার করতে সক্ষম হতে চান এমন কমান্ডগুলির জন্য একটি যুক্ত করতে আপনার /etc/sudoersফাইলটি সম্পাদনা করুন :visudoCmd_alias

# game server commands
Cmnd_Alias GAME_CMDS = /usr/bin/systemctl start <game service>, /usr/bin/systemctl stop <game service>

এবং অনিবদ্ধ ব্যবহারকারীকে এইরূপে ওরফে সংজ্ঞায়িত কমান্ড ব্যবহার করার অনুমতি দেওয়ার জন্য একটি লাইন যুক্ত করুন:

unprivileged_user ALL=(ALL) NOPASSWD: GAME_CMDS

সুডো কমান্ডের বিভিন্ন পরামিতিগুলির জন্য এই বিষয়ের উপর আরও কিছু ডকুমেন্টেশন পড়ুন ।

আপনার সিস্টেমে উপলব্ধ থাকতে আপনাকে sudoপ্যাকেজ ইনস্টল করতে হবে sudo।

আপনি এর sudoসমান অ্যাক্সেস সরবরাহ করার সাথে সংযুক্ত হতে পারেন root, তবে এটি নির্দিষ্ট ব্যবহারকারীকে একটি নির্দিষ্ট, সীমিত কমান্ডের সেটগুলির জন্য ব্যবহার করতে সক্ষম হতে পারে।

সার্ভার ফল্টে এর ইতিমধ্যে কীভাবে উত্তর দেওয়া হয়েছে, [ সুডো ব্যতীত কোনও রুটবিহীন ব্যবহারকারীকে কমান্ডের একটি সেট অ্যাক্সড না করে কোনও মূল-বিহীন ব্যবহারকারীকে কমান্ডের একটি সেট অ্যাক্সেস দেওয়া) at

পলিসিকিট ব্যবহার করা এখনও অস্বাভাবিক। একটি সিস্টেমযুক্ত "ব্যবহারকারী ইউনিট" ব্যবহার করা ভাল কাজ করা উচিত, তবে historতিহাসিকভাবে ব্যবহারকারীকে sudoনির্দিষ্ট কমান্ডগুলি রুট হিসাবে চালানোর অনুমতি দেওয়ার ক্ষমতা ব্যবহার করে আপনার লক্ষ্যটি বহুবার পূরণ করা হয়েছে ।