sudo 구성은 루트에서만 읽을 수 있으므로 sudo 구성 파일을 구문 분석하여 이를 수행할 수 없습니다. sudo 구성을 읽을 수 있더라도 안정적으로 구문 분석하기 어렵고(특히 LDAP 데이터베이스와 같은 로컬이 아닌 정보를 처리할 때) 전체 내용을 알려주지 않습니다(예: 다음을 통해 권한을 부여할 수 있음). 여러 떼).

유일한 실제 검사는 sudouserA로 실행됩니다. 사용자 B로 실행되는 스크립트에서 이 검사를 수행해야 하므로 사용자 B가 사용자 A로 검사를 실행할 수 있는 방법이 필요합니다. 아니면 작은 프로그램을 작성하세요(스크립트가 아니다즉, setuid A 또는 사용자 B에게 sudo를 통해 사용자 A로 검사를 실행할 수 있는 권한을 부여합니다.

사용자 B가 A로 검사를 실행할 수 있도록 허용하는 sudo 규칙을 설정하는 데 관리자를 개입시킬 수 없는 경우 setuid 프로그램이 유일한 솔루션입니다. 이 프로그램은 A가 사용자 B로 실행될 sudo -u userB -b true수 있는지 확인하기 위해 호출됩니다 . true다음은 프로그램의 C 소스 코드입니다(경고: 테스트되지 않음!).

#include <unistd.h>
int main(void) {
    execl("/usr/bin/sudo", "sudo", "-u", "userB", "-b", "/bin/true", (char*)NULL);
    return 126;
}

이를 컴파일하고 결과 실행 파일 setuid를 A로 만듭니다(실행하기 전에 A에 속해야 함 chmod 4755 /path/to/executable).

이 솔루션은 완전하지 않습니다. A가 사용자 A이기 때문에 B로 명령을 실행할 수 있는 경우에만 작동하며, A가 그룹에 속해 있기 때문에 이 권한이 있는 경우에만 작동합니다. 일하다. 그룹 멤버십을 확인해야 하는 경우 sg사용자 A로 실행하여 이 그룹 멤버십을 얻은 다음 실행되도록 해야 합니다 sudo.

이 질문에는 두 가지 다른 질문을 하셨습니다.

1. userA에 대한 sudo 권한을 허용/확인하는 방법
   협회Sudo 프로젝트 홈페이지로 이동

2. sudo 설정을 userB(루트 아님)로 보는 방법

#1이는 /etc/sudoers 문서와 관련 sudo 파일 및 명령을 자세히 조사하여 수행할 수 있습니다. 나는 한 사용자의 명령을 루트가 아닌 다른 사용자로 제한한 경험이 없기 때문에 그것이 가능하다는 것을 알지 않는 한 실제로 말할 수 없습니다.

#2이는 완전히 /etc/sudoers /etc/sudo.conf /etc/sudoers.d/* 등과 같은 sudo 구성 권한 문제입니다. 내 시스템에서 이러한 파일은 스키마이며 -r--r-----. root rootuserB는 다음 없이는 해당 파일을 읽을 수 없습니다.

1. 루트 그룹의 구성원이 되세요
2. 이러한 권한을 변경하려면 시스템 관리자에게 문의하세요.

매우 간단합니다. 이 두 가지 중 하나라도 발생하지 않으면 userB는 파일을 읽거나 구문 분석할 수 없습니다.