Noções Básicas Sobre Privilégios no Arquivo Sudoers

Eplanation para %sudo ALL=(ALL:ALL) ALL : -

• %sudo - o grupo (denominado sudo ) permissão para usar sudo .

• 1 ^st ALL significa permitir sudo de qualquer terminal ou de qualquer host (em qualquer máquina)

• (ALL:ALL) indica que o comando pode ser executado como (User:Group)
• Last All significa que todos os comandos podem ser executados

Explicação para root ALL=(ALL) ALL

• root - o usuário (root) permitido fazer tudo em qualquer máquina como qualquer usuário

Explicação para (ALL:ALL) : (Executar como (User:Group) )

• 1 ^st "ALL" indica que o usuário (no caso de root ) ou membros do grupo (no caso de %admin ) podem executar comandos como todos os usuários

• 2 ^nd "ALL" indica que o usuário (ou seja, root ) ou membros do grupo (ou seja, %admin ) podem executar comandos como todos os grupos.

Se apenas (ALL) for usado, não será possível executar como outro grupo, enquanto (ALL:ALL) diz Executar como todos os usuários e Todos os grupos .

A diferença entre ALL:ALL e ALL em RunAs são as combinações de usuário e grupo que podem ser usadas. Por exemplo:

# sudo -u muru -g git id
Sorry, user root is not allowed to execute '/usr/bin/id' as muru:git on muru-laptop.
# sudo -u muru -g muru id
uid=1000(muru) gid=1000(muru) groups=1000(muru),10(wheel),21(locate),102(polkitd),190(systemd-journal)
$ sudo -u muru -g git id
uid=1000(muru) gid=997(git) groups=997(git),10(wheel),21(locate),102(polkitd),190(systemd-journal),1000(muru)
$ id    
uid=1000(muru) gid=1000(muru) groups=1000(muru),10(wheel),21(locate),102(polkitd),190(systemd-journal)

Os dois primeiros comandos foram executados como root , o terceiro e quarto sob o meu usuário normal que tem (ALL:ALL) .

Com apenas ALL , -g só pode ser usado para especificar o grupo principal do usuário - o que não é melhor do que não especificar -g . ALL:ALL pode ser usado para fornecer uma combinação de usuários e grupos válidos.

Eu não sei porque esta restrição (artificial) está em vigor.