Embora a sudoers
manpage possa ser um pouco instigante, existem exemplos que ajudam a esclarecer as coisas:
dgb boulder = (operator) /bin/ls, (root) /bin/kill, /usr/bin/lprm
O usuário
dgb
agora pode executar/bin/ls
comooperator
, mas/bin/kill
e/usr/bin/lprm
comoroot
.Podemos estender isso para permitir que
dgb
execute/bin/ls
com o usuário ou grupo definido comooperator
:dgb boulder = (operator : operator) /bin/ls, (root) /bin/kill,\ /usr/bin/lprm
Podemos inferir que, dada uma linha sudoers
do formulário:
A B = (C:D) E
D
refere-se aos grupos que podem ser usados.
Portanto, o terceiro ALL
especifica que o usuário pode executar o comando em qualquer grupo.
Se o (ALL)
for especificado em vez de (ALL:ALL)
, então sudo
não poderá ser usado com -g
por esse usuário para esses comandos:
Runas_Spec
A Runas_Spec determines the user and/or the group that a command may
be run as. ... The second defines a list of groups that
can be specified via 'sudo''s '-g' option. If both Runas_Lists are
specified, the command may be run with any combination of users and
groups listed in their respective Runas_Lists. If only the first is
specified, the command may be run as any user in the list but no '-g'
option may be specified.
(Os exemplos acima vêm da mesma seção.)