前言

在 Linux 系统管理中,精确控制用户对特定命令的访问权限是一项关键的安全实践。使用 systemctljournalctl 命令时,不当的权限设置可能会导致不必要的风险。本篇博客将详细讨论如何通过 sudoers 文件和 Polkit 策略为不同用户配置 systemctljournalctl 的访问权限。

权限管理场景

groupadd zhangpeng1
useradd -d /app/zhangpeng1 -m zhangpeng1 -g zhangpeng1
chmod -R 755 /app/zhangpeng1
passwd zhangpeng1

groupadd zhangpeng2
useradd -d /app/zhangpeng2 -m zhangpeng2 -g zhangpeng2
chmod -R 755 /app/zhangpeng2
passwd zhangpeng2

以nginx服务为例:

场景一:为普通用户授予 systemctl 使用权限

考虑到实际应用场景的需求,如普通用户 zhangpeng1 需要管理服务但没有 sudo 权限,我们可以采取以下措施:以nginx服务为例:

方法1:修改 sudoers 文件

使用 vi 编辑器来安全地修改 sudoers 文件,避免权限配置错误:
visudo

添加以下内容来为 zhangpeng1 用户添加无密码执行 systemctl 命令的权限:

zhangpeng1 ALL=(ALL) NOPASSWD: /bin/systemctl

查看当前nginx状态

sudo systemctl status nginx

尝试使用zhangpeng1用户关闭启动nginx测试

sudo systemctl stop nginx
sudo systemctl status nginx
sudo systemctl start nginx
sudo systemctl status nginx

方法2:配置 Polkit 策略

另外一种方式:主要是我不想每次都输入sudo和用户名密码,以zhangpeng2用户为例:

创建 Polkit 规则文件 /etc/polkit-1/rules.d/50-systemctl-manage.rules 来授予相应的权限:

polkit.addRule(function(action, subject) {
    if ((action.id == "org.freedesktop.systemd1.manage-units") &&
        subject.user == "zhangpeng2") {
        return polkit.Result.YES;
    }
});


systemctl status nginx
systemctl stop nginx
systemctl status nginx
systemctl start nginx
systemctl status nginx

场景二:限制用户仅使用 systemctl 的 status 参数

下面我需要更精确颗粒级的权限管理:我需要对zhangpeng1用户,我们需要限制其使用到 systemctlstatus 参数。使该用户只能查看服务的状态,而不能启动或者关闭服务通过详细设置 sudoers 文件,我们可以实现这一需求:

方法1:修改 sudoers 文件

visudo

zhangpeng1 ALL=(ALL) NOPASSWD: /bin/systemctl status *

仍然以nginx服务为例:

在更新visudo文件之前关闭了nginx服务:

sudo systemctl status nginx
sudo systemctl stop nginx

继续获取nginx服务,可以获取nginx服务状态status,但是执行starty已经提示:对不起,用户 zhangpeng1 无权以 root 的身份在 zhangpeng.kylin-one.net 上执行 /usr/bin/systemctl start nginx。服务操作预期:

sudo systemctl status nginx
sudo systemctl start nginx

方法2:配置 Polkit 策略

场景三:授权用户查看日志

journalctl 是查看系统日志的重要工具,我们可以通过以下方式为 zhangpeng2 授予查看日志的权限:

修改 sudoers 文件

visudo

zhangpeng2 ALL=(ALL) NOPASSWD: /bin/journalctl

执行sudo journalctl -f 命令:

配置 Polkit 策略

创建 Polkit 规则 /etc/polkit-1/rules.d/50-journalctl-view.rules

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.systemd1.manage-units" &&
        subject.user == "zhangpeng2") {
        return polkit.Result.YES;
    }
});

使用root用户 将zhangpeng2用户加入 systemd-journaly用户组:

usermod -a -G systemd-journal zhangpeng2

退出 zhangpeng2登录控制台并重新登录,执行journalctl命令

场景四:特定服务的权限管理

我们需要确保用户 zhangpeng1 仅能重启 nginx 服务,通过精确的 sudoers 文件配置可以实现这一要求:

zhangpeng1 ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx.service

使用 Polkit 策略进一步细化控制:

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.systemd1.manage-units" &&
        action.lookup("unit") == "nginx.service" &&
        action.lookup("verb") == "restart" &&
        subject.user == "zhangpeng1") {
        return polkit.Result.YES;
    }
});

结论

通过以上方法,我们可以有效地为不同用户在 Linux 系统中配置精确的权限,确保系统的安全性和操作的可控性。这些配置可以根据实际需求灵活调整,提供高度定制的权限管理方案。

通过深入理解和合理应用 sudoers 和 Polkit 策略,Linux 系统管理员可以在日常管理工作中更好地控制用户权限,从而维护系统的稳定和安全。


对你无可奈何
40 声望12 粉丝