É possível usar sudo ou algum outro mecanismo para permitir que um usuário tenha acesso apenas a comandos em execução em outra conta de usuário específica? (ou seja, não raiz?)
Eu tenho que fornecer algum nível de acesso administrativo a uma ferramenta da Web que está sendo executada na conta do shell-less www-data. Mas, ocasionalmente, pode ser útil para eles executar programas como 'www-data' para realizar trabalhos administrativos no servidor web. Não tenho certeza de como permitir isso enquanto restringe o acesso deles ao root ou a outros serviços.
Sim - é possível fazer isso com sudo . Na página sudoers man:
A Runas_Spec sets the default for the commands that follow it. What this
means is that for the entry:
dgb boulder = (operator) /bin/ls, /bin/kill, /usr/bin/lprm
The user dgb may run /bin/ls, /bin/kill, and /usr/bin/lprm—but only as
operator.