私は現在IDM(リバティIPA) クラスタがあり、完全なsudo権限があります。つまり、sudo -Es
ホストがSSSDを介してルールを正しく選択していることを確認するために、特定のサーバーのFreeIPAに追加されたsudoルールを確認したいと思います。
どうすればいいですか?
メモ:sudoのルールは次のとおりです。
$ ipa sudorule-show prod-abc-dashboard-dba
Rule name: prod-abc-dashboard-dba
Enabled: TRUE
Command category: all
User Groups: eng-data-svc
答え1
これを達成するために私が見つけた最も簡単な方法は、サーバーにSSHで接続することです。その後、sudoルールを取得し、そのアクセス権が付与されているグループのユーザーを確認します。sudo
コマンド-l
と-switchを使用できますU
。
$人も
-l, --list If no command is specified, list the allowed (and forbidden) commands for the invoking user (or the user specified by the -U option) on the current host. A longer list format is used if this option is specified multiple times and the security policy supports a ver‐ bose output format. -U user, --other-user=user Used in conjunction with the -l option to list the privileges for user instead of for the invoking user. The security policy may restrict listing other users' privileges. The sudoers policy only allows root or a user with the ALL privilege on the current host to use this option.
次のように一緒に使用できます。
$ sudo -lU <user>
はい
$ sudo -lU joeuser
Matching Defaults entries for joeuser on this host:
requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2
QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME
LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User joeuser may run the following commands on this host:
(root) ALL
(ALL : ALL) ALL
複数の-l
スイッチ(たとえば-ll
)を使用して、他のユーザー権限の詳細なリストを取得することもできます。たとえば、次のようになります。
$ sudo -llU joeuser
Matching Defaults entries for joeuser on this host:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY
HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User joeuser may run the following commands on this host:
LDAP Role: lab-data-services-all
RunAsUsers: root
Commands:
ALL
LDAP Role: ad-data_services
RunAsUsers: root
Commands:
ALL
LDAP Role: ALL
RunAsUsers: ALL
RunAsGroups: ALL
Commands:
ALL
sudo バージョン
$ sudo -V
Sudo version 1.8.6p3
Sudoers policy plugin version 1.8.6p3
Sudoers file grammar version 42
Sudoers I/O plugin version 1.8.6p3