Как позволить не sudoers пользователям запускать скрипт, который действительно базируется операции
Supouse у меня есть каталог /opt/expe и я хочу, чтобы любой пользователь создал .txt файлы на нем. Я хочу, чтобы любой пользователь ввел что-то вроде этого:
$ whoami
user1
$ export $file_name=my_txt_file
$ /opt/expe/create_file.sh
$ ls -cal /opt/expe
total 12
drwxr-xr-x 2 root root 4096 Jul 29 19:27 .
drwxr-xr-x 6 root root 4096 Jul 29 19:14 ..
-rwsr-sr-t 1 root root 65 Jul 29 19:29 create_file.sh
-rw-r--r-- 1 user1 root 0 Jul 29 19:27 my_txt_file.txt
Я пробую это sudoer
$ whoami
user_sudoer
$ cat /opt/expe/create_file.sh
touch /opt/expe/$file_name.txt
chown $USER /opt/expe/$file_name.txt
$ chmod a+x /opt/expe/create_file.sh
$ chmod a+t /opt/expe/create_file.sh
$ chmod a+s /opt/expe/create_file.sh
$ chmod a+X /opt/expe/create_file.sh
Затем с некорневым пользователем я получил:
$ whoami
user1
$ export $file_name=my_txt_file
$ /opt/expe/create_file.sh
touch: cannot touch '/opt/expe/prueba_txt.txt': Permission denied
Я могу сделать что-то вроде этого. Я хочу что-то как пост-ГРЭС SECURITY DEFINER понятие.
1 ответ
Я не знаком с Пост-ГРЭС достаточно, но я вижу по крайней мере 4 опции:
Полномочия изменения/opt/expe с chmod, чтобы позволить всем пользователям создают файлы в рамках этого каталога.
Создайте отдельную группу для пользователей, которые должны записать там и изменить/opt/expe разрешение группы с chmod для разрешения этой записи группы там.
Создайте отдельную группу и добавьте правило sudoers позволить им выполнить этот сценарий, как описано, например, здесь: Как пользователь может смонтировать контейнер зашифрованного файла в VeraCrypt?
Используйте безопасность маркировки для мелкомодульного управления доступом. Вот краткое описание меток защиты и некоторые дальнейшие ссылки: https://unix.stackexchange.com/questions/53028/what-are-ext4-security-labels
Примите во внимание, что разрешение создать/удалить файлы является свойством каталога а не самого файла.