PrepBro
← Назад к вопросам

Как разрешить пользователю выполнять только одну команду через sudo

1.8 Middle🔥 221 комментариев
#Linux и администрирование#Безопасность

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Разрешение выполнения единственной команды через sudo

Разрешение пользователю выполнять только одну конкретную команду через sudo — это распространённая задача администрирования, которая повышает безопасность, минимизируя привилегии. Это реализуется через редактирование файла конфигурации sudoers с помощью специального инструмента visudo.

Основные шаги настройки

  1. Открытие файла sudoers для редактирования:
    Всегда используйте `visudo`, так как эта утилита проверяет синтаксис перед сохранением, что предотвращает ошибки, которые могли бы заблокировать доступ к sudo.

```bash
sudo visudo
```

2. Добавление правила в файл sudoers:

    В открывшемся редакторе нужно добавить строку со следующим синтаксисом:

```
username hostname=(runas_user) NOPASSWD: /full/path/to/command
```

    Где:
    *   `username` — имя пользователя, которому предоставляется доступ (например, `deploy_user`).
    *   `hostname` — имя хоста, где правило действует (часто используется `ALL` для всех хостов).
    *   `(runas_user)` — от имени какого пользователя может выполняться команда (чаще всего `(root)` или `(ALL)`). Скобки обязательны.
    *   `NOPASSWD:` — необязательный параметр, позволяющий выполнять команду без ввода пароля. Без него sudo будет запрашивать пароль пользователя.
    *   `/full/path/to/command` — **абсолютный путь** к разрешённой команде (например, `/usr/bin/systemctl`).

Примеры конкретных правил

  • Разрешить пользователю john перезапускать только службу nginx от имени root: 
    john ALL=(root) NOPASSWD: /usr/bin/systemctl restart nginx

    Теперь пользователь john сможет выполнить `sudo systemctl restart nginx` без пароля, но любая другая команда с sudo будет запрещена.
  • Разрешить пользователю deploy запускать конкретный скрипт бэкапа: 
    deploy ALL=(ALL) NOPASSWD: /opt/scripts/backup.sh

Важные нюансы и рекомендации по безопасности

  • Использование групп: Часто удобнее управлять правами через группы. Вы можете создать группу (например, script_runners) и задать правило для неё, добавив перед именем группы символ %.

    %script_runners ALL=(root) NOPASSWD: /opt/scripts/deploy.sh

  • Запрет аргументов или разрешение конкретных: Правило NOPASSWD: /usr/bin/apt разрешит запуск любых подкоманд apt (install, remove, purge), что может быть опасно. Для тонкого контроля используются плейсхолдеры.

    *   Чтобы разрешить только `apt update` и `apt upgrade`:

    ```
    user ALL=(root) NOPASSWD: /usr/bin/apt update, /usr/bin/apt upgrade
    ```

    *   Чтобы запретить опасные аргументы, можно использовать явное исключение с `!`. Следующее правило разрешит все команды `systemctl`, кроме `systemctl restart` и `systemctl stop` для критичных служб:

    ```
    user ALL=(root) NOPASSWD: /usr/bin/systemctl, !/usr/bin/systemctl restart nginx, !/usr/bin/systemctl stop nginx
    ```

        **Важно:** Порядок правил в sudoers имеет значение.

  • Алиасы: Для сложных конфигураций можно использовать User_Alias, Host_Alias, Cmnd_Alias для создания именованных групп, что улучшает читаемость и управление.

    Cmnd_Alias RESTART_CMD = /usr/bin/systemctl restart nginx, /usr/bin/systemctl restart postfix
User_Alias OPERATORS = john, mike, %support_team
OPERATORS ALL=(root) NOPASSWD: RESTART_CMD

  • Логирование: Все успешные и неуспешные попытки использования sudo по умолчанию логируются в /var/log/auth.log (или /var/log/secure, в зависимости от дистрибутива). Это необходимо для аудита.

  • Проверка прав: Пользователь может проверить свои доступные команды с помощью:

    sudo -l

Итог

Корректная настройка sudo для выполнения одной команды требует:

  1. Использования visudo.
  2. Указания абсолютного пути к команде.
  3. Чёткого понимания, разрешаются ли аргументы, и если да, то какие именно.
  4. Следования принципу минимальных привилегий, предоставляя ровно столько прав, сколько необходимо для задачи.

Такая настройка позволяет эффективно автоматизировать процессы (например, деплой или перезапуск служб), не выдавая пользователям полный доступ root, что является ключевой практикой в DevOps для обеспечения безопасности инфраструктуры.