sudoers 구문은 탈출구를 제공하지 않습니다. 래퍼 스크립트 작성을 제안할 수도 있지만(예: 첫 번째 인수를 제외한 모든 것을 무시하고 realpath친구와 함께 정규화) 어쨌든 작동하지 않습니다.

sudo cat /var/log/messages/../../../etc/shadow

실제 사용 사례를 알지 못한 채 맨페이지의 예에 대해서만 언급할 수 있습니다. 실제 솔루션은 sudo를 전혀 사용하지 않고 ACL을 사용하는 것이라고 말하고 싶습니다. ACL을 사용하여 사용자에게 디렉터리의 모든 항목에 대한 액세스 권한을 부여하면 파일 시스템이 해당 액세스를 제한합니다.

귀하의 경우 가장 가까운 것은 다음과 같습니다.

%operator ALL = /bin/cat /var/log/messages*, !/bin/cat /var/log/messages*\ *

첫째, /bin/cat 로 시작하는 "매개변수 문자열"이 있는 경우에만 허용되며 /var/log/messages, 동일한 "매개변수 문자열"은 임의의 지점에 공백이 있으면 금지됩니다.

이는 실제로 여러 인수를 허용하지 않지만 cat"전체 문자열" 기준으로 sudo cat /var/log/messages /var/log/messages.1허용하지 않는 만큼 많은 인수를 허용하지 않습니다 sudo cat /var/log/messages /etc/shadow. 또한 가상 파일과 같이 합법적인 파일 이름에 공백이 포함되는 것을 허용하지 않습니다 /var/log/messages-with-' '-space.

/usr/local/bin/cat-messages첫 번째 선택은 외부에서 검증을 수행하는 사용자 정의 스크립트입니다 sudoers.

#!/bin/bash
#
args=()
prefix='/var/log/messages'

for arg in "$@"
do
    # Canonicalise
    real=$(readlink -f "$arg")

    # Check it is a real file matching the prefix
    if [[ "$real" =~ ^"$prefix" ]] && [[ -f "$real" ]]
    then
        args+=("$arg")
    else
        echo "WARNING: skipping $arg" >&2
    fi
done

cat "${args[@]}"

sudoers다음과 같은 줄 에 추가할 수 있습니다 .

%operator ALL = NOPASSWD: /usr/local/bin/cat-messages

그리고 ( /usr/local/bin당신의 것이라고 가정하면 PATH) 이렇게 부르세요

sudo cat-messages /var/log/messages.1 /var/log/messages

실제로 이것은 쉘 스크립트이므로 sudo자체 호출을 통해 사용자의 삶을 훨씬 더 단순하게 만들 수 있습니다. ( sudo여전히 고려 대상 이므로 보안 문제는 없습니다 /usr/local/bin/cat-messages.)

#!/bin/bash
#
[[ $(id -u) != 0 ]] && exec sudo "$0" "$@"

args=()
prefix='/var/log/messages'
... as before ...

이 변형을 다음과 같이 간단히 호출할 수 있습니다.

cat-messages /var/log/messages.1 /var/log/messages

또는

cat-messages /var/log/messages*