Linux
如何創建互動式守護程序登錄?
我在 debian/linux 機器上執行一項服務,該機器在啟動時執行一個“螢幕”會話,我總是可以附加到該會話。
我想創建一個可以執行此服務的使用者名。目前我使用“正常”登錄帳戶。我想增加一個專用於這個服務的使用者名的安全性(類似於 ’nobody’ 或 ‘web’ 與 apache 一起使用的方式)。
要求:
- 無法在本地或遠端登錄(因此無需管理密碼)
- 獲得批准的使用者能夠訪問螢幕會話並與服務互動。
我想該解決方案將創造性地使用 su/sudo 以及如何創建帳戶的詳細資訊。
首先,創建
screen
會話執行的帳戶(例如稱為screenimage
),以及允許使用它的一組使用者(例如screenusers
):adduser --system --group screenimage addgroup --system screenusers
然後對於每個允許使用它的使用者,將它們添加到
screenusers
組中:adduser USER screenusers
然後,將批准的使用者添加到
/etc/sudoers
:執行visudo
並添加該行%screenusers ALL = (screenimage) /usr/bin/screen
ETA:解決這篇文章的其他答案:
--system
創建沒有外殼或密碼的帳戶。這sudoers
條線意味著使用者只能screen
以使用者身份執行screenimage
。