Author Topic: การ set sudoers file สำหรับการ limit priviledge specific user  (Read 9480 times)

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
ปกติเราสามารถจำกัดสิทธิ์ในการรัน command บน unix ได้โดยใช้ตัว sudo เข้ามาช่วยครับ

โดย command ที่เข้าไป edit ก็เป็น

#visudo

    * %admin – the group named "admin" (% prefix)
    * ALL= – on all hosts (if you distribute the same sudoers file to many computers) ในกรณีมีหลาย host
    * (ALL) – as any target user
    * ALL – can run any command

golftest  ALL=(ALL) ALL
หมายความว่า ให้ user=golftest สามารถใช้งาน host ได้ทั้งหมด , และให้รัน command ได้ทุก command.

golfxxx ALL= NOPASSWD: /usr/bin/tail,/usr/bin/head,/bin/more,/bin/awk,/bin/sed,/bin/cut,/bin/grep,/bin/rm,/bin/ls,/bin/cp,/usr/bin/less,/bin/cat
หมายความว่า ให้ user=golfxxx สามารถใช้งาน host ได้ทั้งหมด , และให้รัน command /usr/bin/tail,/usr/bin/head,/bin/more,/bin/awk,/bin/sed,/bin/cut,/bin/grep,/bin/rm,/bin/ls,/bin/cp,/usr/bin/less,/bin/cat เหล่านี้ได้ โดยไม่ต้องถาม password ตอนรัน

เมื่อเรียบร้อยก็ :wq ออกมาครับ

แล้วก็ลอง test โดย

#su golfxxx
golfxxx>sudo tail /var/log/maillog

ก็จะแสดงค่าออกมาโดยไม่ถาม password ตอนรันครับผม