Назад | Перейти на главную страницу

пользователю sudo не разрешено выполнять systemctl

Я пытаюсь разрешить пользователю использовать sudo для управления настраиваемой службой systemctl, однако это не удается, и я не могу понять, почему.

[root@testvm sudoers.d]# ll
total 16
-r--r-----. 1 root root 334 Oct  9 15:42 20_appgroup
-r--r-----. 1 root root 104 Sep 17 11:24 98_admins

Группа приложений содержит это;

[root@testvm sudoers.d]# cat 20_appgroup
%appgroup    ALL= /usr/bin/systemctl restart test.service, 
/usr/bin/systemctl start test.service, /usr/bin/systemctl stop 
test.service, /usr/bin/systemctl status test.service

Я дважды проверил, является ли пользователь членом группы приложений, однако, когда этот пользователь запускает sudo systemctl start test.service это приводит к сообщению об ошибке;

Sorry, user tester is not allowed to execute '/usr/bin/systemctl start test' as root on testvm.

Любые мысли о том, в чем может быть проблема?

Отладка проблем с sudo:

  • бегать sudo -l как заинтересованный пользователь, чтобы показать, какие права назначены этому пользователю.
  • убедитесь, что эти права соответствуют командам, которые вы хотите разрешить,
    команды разрешены в вашем /etc/sudoers и /etc/sudoers.d/* конфигурации, которые не содержат аргументов, будут разрешены для запуска с любым аргументом,
    разрешенные команды, которые включают аргументы в свою спецификацию, будут работать только с этими точными аргументами, ни больше, ни меньше.
  • Если права на основе группы отсутствуют, проверьте с помощью id <username> чтобы получить список всех групп, к которым принадлежит пользователь.
  • Если включить файлы из /etc/sudoers.d/ не грузиться:
    • Чтобы включить эти фрагменты, основной /etc/sudoers файл конфигурации необходимо настроить для загрузки этих дополнительных разделов конфигурации с #includedir /etc/sudoers.d директива.
      Ведущий фунт # не комментарий но часть директивы.
    • Файлы в /etc/sudoers.d/ не должны иметь имена, оканчивающиеся на ~ или содержать . персонаж.
    • Файлы в /etc/sudoers.d/ должен иметь режим 0440 и принадлежать root: root.