允许非管理员用户通过apt或rpm安装软件包？

Question

是否可以允许非根用户使用apt或rpm在系统范围内安装软件包？

我目前工作的地方在linux盒上有一个过时的设置，而且管理员已经厌倦了必须根据请求为用户完成所有的安装，因此他们正在考虑给予所有用户完全的sudo权限。这有明显的安全缺陷。所以，我想知道是否有一种方法可以让普通用户安装软件，并升级和删除它？

Answer 1

您可以使用sudo指定允许的命令，您不需要允许无限的访问。

username ALL = NOPASSWD : /usr/bin/apt-get , /usr/bin/aptitude

这将允许用户名在没有任何密码的情况下运行sudo apt-get和sudo aptitude，但不允许任何其他命令。

您还可以将包装袋与PolicyKit结合使用，用于比sudo更精细的控制级别。

允许用户安装/删除包可能会带来风险。只要卸载必要的软件(如libc6、dpkg、rpm等)，它们就可以很容易地使系统失去功能。从定义的档案中安装任意软件可能会让攻击者安装过时或可利用的软件，并获得根用户访问权限。在我看来，主要的问题是你有多信任你的员工？

当然，您的管理团队也可以开始使用一个配置管理系统，比如傀儡、厨师或查看空间行走来管理您的系统。这将使他们能够从中央系统配置和管理系统。

Answer 2

aptdcon

从手册页：

aptdcon：允许执行包管理任务，例如使用aptdaemon安装或删除软件。运行这个程序不需要有根用户。

Answer 3

username ALL = NOPASSWD : /usr/bin/yum, /bin/rpm