Linux 权限管理实践：精确控制用户对 systemctl 和 journalctl 命令的使用

Linux 权限管理实践：精确控制用户对 systemctl 和 journalctl 命令的使用

前言

在 Linux 系统管理中，精确控制用户对特定命令的访问权限是一项关键的安全实践。使用 systemctl 和 journalctl 命令时，不当的权限设置可能会导致不必要的风险。本篇博客将详细讨论如何通过 sudoers 文件和 Polkit 策略为不同用户配置 systemctl 和 journalctl 的访问权限。

权限管理场景代码语言：bash复制

groupadd zhangpeng1
useradd -d /app/zhangpeng1 -m zhangpeng1 -g zhangpeng1
chmod -R 755 /app/zhangpeng1
passwd zhangpeng1

代码语言：bash复制

groupadd zhangpeng2
useradd -d /app/zhangpeng2 -m zhangpeng2 -g zhangpeng2
chmod -R 755 /app/zhangpeng2
passwd zhangpeng2

以nginx服务为例：

场景一：为普通用户授予 systemctl 使用权限

考虑到实际应用场景的需求，如普通用户 zhangpeng1 需要管理服务但没有 sudo 权限，我们可以采取以下措施：以nginx服务为例：

方法1：修改 sudoers 文件

使用 vi 编辑器来安全地修改 sudoers 文件，避免权限配置错误：

visudo

添加以下内容来为 zhangpeng1 用户添加无密码执行 systemctl 命令的权限：

代码语言：bash复制

zhangpeng1 ALL=(ALL) OPASSWD: /bin/systemctl

查看当前nginx状态

代码语言：bash复制

sudo systemctl status nginx

尝试使用zhangpeng1用户关闭启动nginx测试

代码语言：bash复制

sudo systemctl stop nginx
sudo systemctl status nginx
sudo systemctl start nginx
sudo systemctl status nginx

方法2：配置 Polkit 策略

另外一种方式：主要是我不想每次都输入sudo和用户名密码，以zhangpeng2用户为例：

创建 Polkit 规则文件 /etc/polkit-1/rules.d/50-systemctl-manage.rules 来授予相应的权限：

代码语言：markdown复制

polkit.addRule(function(action, subject) {
    if ((action.id == "org.freedesktop.") &&
        subject.user == "zhangpeng2") {
        return polkit.Result.YES;
    }
});

代码语言：bash复制

systemctl status nginx
systemctl stop nginx
systemctl status nginx
systemctl start nginx
systemctl status nginx

场景二：限制用户仅使用 systemctl 的 status 参数

下面我需要更精确颗粒级的权限管理：我需要对zhangpeng1用户，我们需要限制其使用到 systemctl 的 status 参数。使该用户只能查看服务的状态，而不能启动或者关闭服务通过详细设置 sudoers 文件，我们可以实现这一需求：

方法1：修改 sudoers 文件

visudo

代码语言：markdown复制

zhangpeng1 ALL=(ALL) OPASSWD: /bin/systemctl status *

仍然以nginx服务为例：

在更新visudo文件之前关闭了nginx服务：

代码语言：bash复制

sudo systemctl status nginx
sudo systemctl stop nginx

继续获取nginx服务，可以获取nginx服务状态status，但是执行starty已经提示：对不起，用户 zhangpeng1 无权以 root 的身份在 zhangpeng.kylin-one 上执行 /usr/bin/systemctl start nginx。服务操作预期：

代码语言：bash复制

sudo systemctl status nginx
sudo systemctl start nginx

方法2：配置 Polkit 策略

场景三：授权用户查看日志

journalctl 是查看系统日志的重要工具，我们可以通过以下方式为 zhangpeng2 授予查看日志的权限：

修改 sudoers 文件

visudo

代码语言：markdown复制

zhangpeng2 ALL=(ALL) OPASSWD: /bin/journalctl

执行sudo journalctl -f 命令：

配置 Polkit 策略

创建 Polkit 规则 /etc/polkit-1/rules.d/50-journalctl-view.rules：

代码语言：markdown复制

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop." &&
        subject.user == "zhangpeng2") {
        return polkit.Result.YES;
    }
});

代码语言：markdown复制

usermod -a -G systemd-journal zhangpeng2

退出 zhangpeng2登录控制台并重新登录，执行journalctl命令

场景四：特定服务的权限管理

我们需要确保用户 zhangpeng1 仅能重启 nginx 服务，通过精确的 sudoers 文件配置可以实现这一要求：

代码语言：markdown复制

zhangpeng1 ALL=(ALL) OPASSWD: /bin/systemctl restart nginx.service

使用 Polkit 策略进一步细化控制：

代码语言：markdown复制

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop." &&
        action.lookup("unit") == "nginx.service" &&
        action.lookup("verb") == "restart" &&
        subject.user == "zhangpeng1") {
        return polkit.Result.YES;
    }
});

结论

通过以上方法，我们可以有效地为不同用户在 Linux 系统中配置精确的权限，确保系统的安全性和操作的可控性。这些配置可以根据实际需求灵活调整，提供高度定制的权限管理方案。

通过深入理解和合理应用 sudoers 和 Polkit 策略，Linux 系统管理员可以在日常管理工作中更好地控制用户权限，从而维护系统的稳定和安全。