本文介绍了如何在Linux环境中,为了解决应用用户无法清理由root用户生成的日志问题,通过添加sudo权限给应用用户,允许其无密码执行rm和find命令。首先分析了由于日志owner和group为root导致的问题,然后提出通过修改/etc/sudoers文件,添加NOPASSWD规则,允许appuser执行特定命令。最后,验证了设置的有效性。
问题背景
因为中间件问题,某个应用目录下生成的日志owner和group都是root用户,导致应用用户定期清理日志的脚本报错。
问题分析
通常我们只需要通过setfacl命令来添加ACL权限即可,但是该应用目录为NAS挂载目录,可能由于挂载方式的原因,在使用setfacl命令时会报错。
最初的想法是在root用户下添加应用用户日志清理脚本的crontab任务。考虑到root用户删除应用日志可能存在合规风险,最终的解决方法是为应用用户添加sudo权限,使得应用用户能以root身份来执行rm和find命令来删除日志。
问题处理
假设应用用户为appuser,应用日志清理脚本中需要以root身份执行find和rm命令。
使用root用户按如下方式修改/etc/sudoers文件,添加如下两行:
$ visudo
appuser ALL=(root) NOPASSWD: /usr/bin/rm, /usr/bin/find
Defaults:appuser !requiretty
#注释Defaults requiretty
其中Defaults:appuser !requiretty这一行是为了rm和find命令能够在脚本中使用。NOPASSWD表示appuser用户执行sudo时不用输入密码,后面接的命令表示只能执行sudo rm和sudo find两个命令。
最后,使用appuser用户进行有效性测试即可。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
