112
Help us understand the problem. What are the problem?

More than 5 years have passed since last update.

posted at

updated at

Organization

rootだけtty無しのsudoを許可

Chef、Capistrano、ansibleを触ったことがある人なら誰もが通る道。
いざ実行すると失敗するアレである。

デフォルトでttyなしのsudoは拒否

デフォルトでttyなしの sudo が許可されてないことが多いので、なるべくしてそうなる。
ssh で sudo 付きコマンドを実行されるのを防ぐとかなんとか…

/etc/sudoers
Defaults    requiretty

ユーザ別許可設定

上記の設定をコメントアウトしてしまう手もあるが、ノーガード感があるので却下。
そもそもrootでのssh接続なんて許可してないし、rootなのにsudoがどうとか小さい話じゃないか、
という気がしてきたのでrootだけ許可してみた。
ユーザ指定の書き方はこう↓

/etc/sudoers
Defaults    requiretty
Defaults:root    !requiretty

グループも同じ↓

/etc/sudoers
Defaults    requiretty
Defaults:%wheel    !requiretty

コマンド別許可設定

ちなみにコマンド別の拒否設定はこう↓

/etc/sudoers
Defaults    requiretty
Defaults!/path/to/command    !requiretty

参考

AWS OpsWorksではこうしてた。
1行目でコマンドをリストして、2行目でまとめて !requiretty してるように見える。

/etc/sudoers.d/opsworks-agent
aws ALL=NOPASSWD:/opt/aws/opsworks/current/bin/chef_command_wrapper.sh, /opt/aws/opsworks/current/bin/chef-client, /opt/aws/opsworks/current/bin/opsworks-agent-uninstaller
Defaults:aws !requiretty

大幅な編集リクエスト求む。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Sign upLogin
112
Help us understand the problem. What are the problem?