Saltar al contenido

¿Cómo podríamos permitir que los usuarios que no son root controlen un servicio systemd?

Nuestro equipo especializado despúes de muchos días de trabajo y de juntar de información, obtuvimos los datos necesarios, esperamos que resulte útil para ti para tu proyecto.

Solución:

Simplemente agregue todos los comandos necesarios a sudoers por separado:

%webteam cms051=/usr/bin/systemctl restart httpd.service
%webteam cms051=/usr/bin/systemctl stop httpd.service
%webteam cms051=/usr/bin/systemctl start httpd.service 
%webteam cms051=/usr/bin/systemctl status httpd.service

La respuesta de @jofel fue exactamente lo que necesitaba para obtener una configuración que funcionara. Publicando esto para cualquier otra persona que tropiece con esta pregunta. Necesitaba una manera de tener capistrano reinicie mi aplicación Ruby después de implementarla desde mi máquina local. Eso significa que necesitaba acceso sin contraseña para reiniciar systemd servicios. ¡ESTO es lo que tengo y funciona maravillosamente!

Nota: mi usuario y grupo se llama deployer

Coloque el código en un archivo personalizado aquí: /etc/sudoers.d/deployer

Código:

%deployer ALL= NOPASSWD: /bin/systemctl start my_app
%deployer ALL= NOPASSWD: /bin/systemctl stop my_app
%deployer ALL= NOPASSWD: /bin/systemctl restart my_app

Cree un alias de comando con los comandos a los que desea que tengan acceso. Luego asigne el grupo a ese alias de comando:

Cmnd_Alias APACHE-SVC = /usr/bin/systemctl stop httpd, /usr/bin/systemctl start httpd, /usr/bin/systemctl restart httpd

%webteam ALL=APACHE-SVC

También es una buena práctica colocar cualquier edición en su archivo /etc/sudoers.d/filename en lugar de editar directamente el archivo sudoers. Asegúrese de señalar su .d/nombre de archivo en los sudoers, lo que la mayoría de las distribuciones nuevas hacen de todos modos. Colocar estas 2 líneas en tus sudoers debería funcionar:

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d

Nota: Ese # delante de la dirección incluida no es un comentario. debe permanecer.

Finalizando este artículo puedes encontrar las anotaciones de otros programadores, tú además tienes la habilidad dejar el tuyo si dominas el tema.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Tags : / / / /

Utiliza Nuestro Buscador

Preguntas Relacionadas:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *