আমরা কীভাবে নন-রুট ব্যবহারকারীদের একটি সিস্টেম.ডি পরিষেবা নিয়ন্ত্রণের অনুমতি দিতে পারি?

সাথে sysvinit, এর sudoersমতো এন্ট্রি যথেষ্ট হবে:

%webteam cms051=/sbin/service httpd *

এটি কমান্ডগুলির জন্য যেমন অনুমতি দেয়:

• sudo service httpd status
• sudo service httpd restart

এখন, সাথে systemd, পরিষেবার নামটি চূড়ান্ত যুক্তি। অর্থাৎ, পরিষেবা পুনরায় আরম্ভের কাজটি এর সাথে সম্পন্ন হবে:

systemctl restart httpd.service

স্বাভাবিকভাবেই, আমি ভেবেছিলাম কমান্ডটি যেমন systemctl * httpd.serviceকাজ করবে তেমন সংজ্ঞা দেওয়া কিন্তু এটি এমন কোনও কিছুকে অনুমতি দেবে systemctl restart puppet.service httpd.serviceযা পছন্দসই প্রভাব নয়।

এটি বিবেচিত হওয়ার সাথে সাথে, নন-রুট ব্যবহারকারীদের কোনও system.dপরিষেবা নিয়ন্ত্রণের অনুমতি দেওয়ার সর্বোত্তম উপায় কী হবে ? এটি হওয়ার দরকার নেই sudoers; একটি ফাইল অনুমতি পরিবর্তন যথেষ্ট হতে পারে?

sudoersপৃথকভাবে সমস্ত প্রয়োজনীয় কমান্ড যুক্ত করুন :

%webteam cms051=/usr/bin/systemctl restart httpd.service
%webteam cms051=/usr/bin/systemctl stop httpd.service
%webteam cms051=/usr/bin/systemctl start httpd.service 
%webteam cms051=/usr/bin/systemctl status httpd.service

@ জোফেলের উত্তর হ'ল আমার একটি কার্যনির্বাহী সেটআপ পাওয়ার জন্য ঠিক কী প্রয়োজন ছিল। এই প্রশ্নে অন্য কেউ হোঁচট খাচ্ছে তার জন্য পোস্ট করা। capistranoআমার স্থানীয় মেশিন থেকে মোতায়েনের পরে আমার রুবি অ্যাপ্লিকেশনটি পুনরায় চালু করার জন্য আমার একটি উপায় প্রয়োজন । এর অর্থ পুনরায় চালু করার systemdপরিষেবাগুলিতে আমার পাসওয়ার্ডহীন অ্যাক্সেসের প্রয়োজন । এটি আমার কাছে যা আছে এবং এটি আশ্চর্যজনকভাবে কাজ করে!

দ্রষ্টব্য : আমার ব্যবহারকারী এবং গোষ্ঠীটিকে deployer
এখানে একটি কাস্টম ফাইলে পুট কোড বলা হয় : /etc/sudoers.d/deployer
কোড:

%deployer ALL= NOPASSWD: /bin/systemctl start my_app
%deployer ALL= NOPASSWD: /bin/systemctl stop my_app
%deployer ALL= NOPASSWD: /bin/systemctl restart my_app

আপনি যে কমান্ডগুলিতে অ্যাক্সেস পেতে চান সেগুলি দিয়ে একটি কমান্ড ওরফে তৈরি করুন। তারপরে গ্রুপটিকে সেই কমান্ড ওরফে নির্ধারণ করুন:

Cmnd_Alias APACHE-SVC = /usr/bin/systemctl stop httpd, /usr/bin/systemctl start httpd, /usr/bin/systemctl restart httpd

%webteam ALL=APACHE-SVC

আপনার /etc/sudoers.d/filename এ সরাসরি sudoers ফাইল সম্পাদনা করার পরিবর্তে কোনও সম্পাদনা করা ভাল অনুশীলন। সুডোরগুলিতে আপনার .d / ফাইলের নাম চিহ্নিত করার বিষয়টি নিশ্চিত করুন, যা বেশিরভাগ নতুন ডিস্ট্রোস যাইহোকই করেন। আপনার sudoers এই 2 লাইন স্থাপন কৌশলটি করা উচিত:

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d

দ্রষ্টব্য: অন্তর্ভুক্তির সামনে থাকা # টি মন্তব্য নয়। এটা থাকতে হবে।

জোফেলের পরামর্শ অনুসারে এগুলি আইটেমাইজ করা সবচেয়ে নিরাপদ ।

যদি আমি কাউকে কমান্ডের ক্ষমতাগুলির সীমিত উপসেটটি ব্যবহার করার অনুমতি দিতে চাই, তবে আমি এটি করতে একটি sudoers লাইনে ওয়াইল্ডকার্ডগুলিতে বিশ্বাস করব না। ভাষা শেল গ্লোবগুলির চেয়েও বেশি ভাবপূর্ণ হলেও, ট্র্যাক রাখতে অনেকগুলি কর্নার কেস রয়েছে।

" service httpd *" লাইনটি তুলনামূলকভাবে নিরাপদ কারণ (এটি যাচাই করুন :) serviceকেবলমাত্র একটি কার্যকর পতাকা ( --status-all) যা বিশেষত সংবেদনশীল কিছু করে না এবং (এটিও যাচাই /etc/init.d/httpdকরবে :) কেবলমাত্র আপনি যে কমান্ড লাইনগুলিকে অনুমতি দিতে চান তা গ্রহণ করবে।

যদি এমন অনেকগুলি সংমিশ্রণ থাকে যেগুলি তালিকাভুক্ত করা বিশ্রী হয়ে ওঠে, আপনি সম্ভবত যা করছেন তা নিয়ে আপনার প্রশ্ন করা উচিত। তবে আপনি তাদের সাবধানে লিখিত সহায়ক স্ক্রিপ্টে অ্যাক্সেস দিতে পারেন যা তাদের জন্য কমান্ড চালায় (অনেকটা পছন্দ /etc/init.d/http)। এমনকি এই ক্ষেত্রে আপনার কমান্ড এবং বিকল্পগুলি অনুমোদিত তা সঠিকভাবে নির্ধারণের জন্য যথাসম্ভব যথাযথ এবং সুস্পষ্ট হওয়া উচিত এবং কোনও লক্ষ্য ব্যবহারকারীকে কোনও ইনপুট সরাসরি টার্গেট কমান্ডে পাস করবেন না।