Como conceder permissão ao comando sudo por um tempo específico? existe alguma maneira de conceder direitos para executar um comando específico por 2 dias apenas no arquivo sudoers.?
13
O arquivo sudoers não suporta restrição baseada em tempo, mas existe um método fácil. Crie um arquivo com suas alterações em /etc/sudoers.d/(com sudo visudo -f /etc/sudoers.d/yourfile):
Adicione a um arquivo (exemplo file.sh:) o seguinte
mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile
E isso desativará suas alterações:
sudo at -f file.sh 2pm + 2 days
Exemplo:
at -f file.sh 2pm + 2 days
warning: commands will be executed using /bin/sh
job 4 at Thu Oct 15 14:00:00 2015
Nesse caso, ele moveria o arquivo às 14h, 2 dias após a emissão do comando. O at manual possui algumas opções (você pode usar um tempo, dias, semanas, meses, anos, palavras-chave como próximos ou adicionar / subtrair períodos). Faça alguns testes com a opção de garantir que você o entenda (algo a considerar: é importante se você iniciar o atantes ou depois das 14h do dia.)
attambém sobrevive às reinicializações, por isso é uma boa ferramenta a ser usada para esse tipo de coisa. E você pode alternar o acesso ...
sudo mv /etc/sudoers.d/.yourfile /etc/sudoers.d/yourfile | at 2pm + 2 days
sudo mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile | at 2pm + 4 days
sudo mv /etc/sudoers.d/.yourfile /etc/sudoers.d/yourfile | at 2pm + 6 days
sudo mv /etc/sudoers.d/yourfile /etc/sudoers.d/.yourfile | at 2pm + 8 days
e deixar esse usuário louco (wtf agora eu posso fazer isso).
O README em /etc/sudoers/:
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
#
# #includedir /etc/sudoers.d
#
# This will cause sudo to read and parse any files in the /etc/sudoers.d
# directory that do not end in '~' or contain a '.' character.
#
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
#
# Note also, that because sudoers contents can vary widely, no attempt is
# made to add this directive to existing sudoers files on upgrade. Feel free
# to add the above directive to the end of your /etc/sudoers file to enable
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
Se eu ler isso corretamente, ele não executará nenhum arquivo com um "." em qualquer lugar do nome. Então, o primeiro mvcomando eu coloquei o "." na frente, tornando-o também invisível. Se assumido corretamente, você pode colocar um "." qualquer lugar. Cuidado com o "~", esse é usado como recurso de "backup" por editores como o gEdit.
atnão está instalado por padrão. Para instalar
sudo apt-get install at
/etc/sudoers.dque não será usado por outros usuários.mv, nãocp.