Возможный дубликат:
Как я могу разрешить одному пользователю использовать su другому, не разрешая root-доступ?
У нас есть учетная запись пользователя, которую используют наши администраторы баз данных (oracle
). Я не хочу устанавливать пароль для этой учетной записи и хочу разрешить пользователям только в dba
группа в su - oracle
.
Как я могу этого добиться?
Я думал просто дать им sudo
доступ к su - oracle
команда. Однако я не удивлюсь, если будет более изысканный / элегантный / безопасный способ.
Если вы все равно собираетесь предоставить им полный доступ к учетной записи, почему бы просто не позволить им делать все, что они хотят, через sudo
прямо?
%dba ALL = (oracle) ALL
Эта строка в sudoers
позволит любому в dba
группа пользователей для запуска любой команды в качестве oracle
пользователь, включая получение оболочки с sudo -su oracle
или sudo -iu oracle
для оболочки входа.
В качестве альтернативы, если вы не хотите, чтобы у них был доступ ко всему, вы можете заменить последнее ALL
со списком команд для их ограничения, например.
%dba ALL = (oracle) /bin/chmod, /usr/local/bin/oracleclient localhost
Да, есть. Использовать
sudo -u oracle -i
и добавьте разрешения для оболочки nopasswd по умолчанию, например:
%dba ALL=(oracle)NOPASSWD: /bin/bash