前言
在 Linux 系统管理中,精确控制用户对特定命令的访问权限是一项关键的安全实践。使用 systemctl 和 journalctl 命令时,不当的权限设置可能会导致不必要的风险。本篇博客将详细讨论如何通过 sudoers 文件和 Polkit 策略为不同用户配置 systemctl 和 journalctl 的访问权限。
权限管理场景
groupadd zhangpeng1
useradd -d /app/zhangpeng1 -m zhangpeng1 -g zhangpeng1
chmod -R 755 /app/zhangpeng1
passwd zhangpeng1
groupadd zhangpeng2
useradd -d /app/zhangpeng2 -m zhangpeng2 -g zhangpeng2
chmod -R 755 /app/zhangpeng2
passwd zhangpeng2
以nginx服务为例:
场景一:为普通用户授予 systemctl 使用权限
考虑到实际应用场景的需求,如普通用户 zhangpeng1 需要管理服务但没有 sudo 权限,我们可以采取以下措施:以nginx服务为例:
方法1:修改 sudoers 文件
使用 vi 编辑器来安全地修改 sudoers 文件,避免权限配置错误:
visudo
添加以下内容来为 zhangpeng1 用户添加无密码执行 systemctl 命令的权限:
zhangpeng1 ALL=(ALL) NOPASSWD: /bin/systemctl
查看当前nginx状态
sudo systemctl status nginx
尝试使用zhangpeng1用户关闭启动nginx测试
sudo systemctl stop nginx
sudo systemctl status nginx
sudo systemctl start nginx
sudo systemctl status nginx
方法2:配置 Polkit 策略
另外一种方式:主要是我不想每次都输入sudo和用户名密码,以zhangpeng2用户为例:
创建 Polkit 规则文件 /etc/polkit-1/rules.d/50-systemctl-manage.rules 来授予相应的权限:
polkit.addRule(function(action, subject) {if ((action.id == "org.freedesktop.systemd1.manage-units") &&subject.user == "zhangpeng2") {return polkit.Result.YES;}
});
systemctl status nginx
systemctl stop nginx
systemctl status nginx
systemctl start nginx
systemctl status nginx
场景二:限制用户仅使用 systemctl 的 status 参数
下面我需要更精确颗粒级的权限管理:我需要对zhangpeng1用户,我们需要限制其使用到 systemctl 的 status 参数。使该用户只能查看服务的状态,而不能启动或者关闭服务通过详细设置 sudoers 文件,我们可以实现这一需求:
方法1:修改 sudoers 文件
visudo
zhangpeng1 ALL=(ALL) NOPASSWD: /bin/systemctl status *
仍然以nginx服务为例:
在更新visudo文件之前关闭了nginx服务:
sudo systemctl status nginx
sudo systemctl stop nginx继续获取nginx服务,可以获取nginx服务状态status,但是执行starty已经提示:对不起,用户 zhangpeng1 无权以 root 的身份在 zhangpeng.kylin-one.net 上执行 /usr/bin/systemctl start nginx。服务操作预期:
sudo systemctl status nginx
sudo systemctl start nginx
方法2:配置 Polkit 策略
场景三:授权用户查看日志
journalctl 是查看系统日志的重要工具,我们可以通过以下方式为 zhangpeng2 授予查看日志的权限:
修改 sudoers 文件
visudo
zhangpeng2 ALL=(ALL) NOPASSWD: /bin/journalctl
执行sudo journalctl -f 命令:
配置 Polkit 策略
创建 Polkit 规则 /etc/polkit-1/rules.d/50-journalctl-view.rules:
polkit.addRule(function(action, subject) {if (action.id == "org.freedesktop.systemd1.manage-units" &&subject.user == "zhangpeng2") {return polkit.Result.YES;}
});
使用root用户 将zhangpeng2用户加入 systemd-journaly用户组:
usermod -a -G systemd-journal zhangpeng2
退出 zhangpeng2登录控制台并重新登录,执行journalctl命令
场景四:特定服务的权限管理
我们需要确保用户 zhangpeng1 仅能重启 nginx 服务,通过精确的 sudoers 文件配置可以实现这一要求:
zhangpeng1 ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx.service
使用 Polkit 策略进一步细化控制:
polkit.addRule(function(action, subject) {if (action.id == "org.freedesktop.systemd1.manage-units" &&action.lookup("unit") == "nginx.service" &&action.lookup("verb") == "restart" &&subject.user == "zhangpeng1") {return polkit.Result.YES;}
});
结论
通过以上方法,我们可以有效地为不同用户在 Linux 系统中配置精确的权限,确保系统的安全性和操作的可控性。这些配置可以根据实际需求灵活调整,提供高度定制的权限管理方案。
通过深入理解和合理应用 sudoers 和 Polkit 策略,Linux 系统管理员可以在日常管理工作中更好地控制用户权限,从而维护系统的稳定和安全。
