Permitir que certos convidados executem certos comandos

Eu gostaria de criar um novo usuário em alguns dos meus hosts Debian / Ubuntu que é capaz de atualizar o servidor usando os comandos apt-get updatee apt-get dist-upgrade, mas não quero dar a eles acesso total ao sudo para poder fazer qualquer outra coisa. Isso é possível? Talvez haja uma maneira de criar um script que eles não podem editar, mas podem executar, o que será executado como usuário root?

Sudoe o /etc/sudoersarquivo não serve apenas para garantir aos usuários acesso total à raiz.

Você pode editar o arquivo sudoers com um usuário sudo existente, com o comando sudo visudo

Você pode agrupar os comandos aos quais deseja conceder acesso, como abaixo:

Cmnd_Alias SHUTDOWN_CMDS = /sbin/poweroff, /sbin/halt, /sbin/reboot
Cmnd_Alias UPDATE_COMMANDS = /usr/bin/apt-get

Você pode então conceder privilégios de usuário específicos a esses comandos, como:

[User's name] ALL=(ALL) NOPASSWD: SHUTDOWN_CMDS, UPDATE_COMMANDS

Isso pode ser visto na imagem abaixo :

Agora, se você tentar sudo apt-get updateou sudo apt-get dist-upgradeesses comandos serão executados sem solicitar uma senha . Se você deseja que seja solicitada uma senha, remova o NOPASSWDbit em que você concede ao usuário acesso aos grupos de comandos.

Se você tentar executar qualquer outra coisa como sudousuário, será solicitada uma senha e falhará.

Referências

• Ubuntu Docs - Sudoers
• Como editar o arquivo Sudoers no Ubuntu e CentOS
• Assuma o controle do seu Linux | Arquivo sudoers: How to with Examples