Как в Линуксе убрать требование рута для определенных программ?

Настроить для пользователя или группы возможность запуска этих программ через sudo с правами root без ввода пароля.

А я что то не могу найти как отключить запрос пароля только для определенных программ.

Не подскажешь можно как то указать конкретный список?

Вот допустим dmesg

Строчка в sysctl.conf

Читаем маны, там всё описяно.

И для отдельных команд (тех же dmesg) можно указать отдельные правила.

Списком не получится, для каждой программы отдельная строка с NOPASSWD:

https://unix.stackexchange.com/questions/18830/how-to-run-a-specific-program-...

Очень странно, у меня когда-то вот такая строка в sudoers прекрасно работала:

%plugdev ALL=(ALL) NOPASSWD: /sbin/cryptsetup, /usr/bin/eject, /usr/bin/tee

sudo сhown root /path/to/binary
sudo сhgrp root /path/to/binary
sudo chmod +s /path/to/binary

Только почитай сначала, что такое SUID и GUID и чем они чреваты. И всякий раз решай, насколько ты доверяешь автору программы, ее источнику и в целом безопасности кода и какой ущерб может причинить случайный или намеренный запуск программы с правами рута от обычного пользователя. Допустим, проделывать такое с rm или Apache чревато.

Вы тут ещё про Cmnd_Alias напишите :) Раз ТС уже отправлен в man'ы, то зачем подсказывать.

Ну, и ИМХО, если давать sudo на tee, дак это любой файл можно переписать, почти тоже самое, что sudo на ALL...

dmesg

Пользователь добавляется в группу systemd-journal

journalctl -k

dmesg

В современных дистрибутивах отображается через journalctl -k без необходимости в руте

renice

Можешь написать кастомное правило для polkit. Ну или, если протон дёргает /usr/bin/renice вместо системного вызова, то проще настроить sudoers как подсказали выше.

Работай под рутом, какие проблемы. Ты же на винде работаешь под админом, так и здесь тоже так делай

Работать в винде под админом и работать в винде под админом две большие разницы.

Узнал автора реакции по тексту комментария😄

Ну да, этот луддит своим флудом уже задолбал. firkax , если ты не любишь systemd, sudo, LVM и ещё что-то — твое право, у них есть свои недостатки, как и у любого ПО.

Но они объективно являются стандартом де-факто, применяемым по умолчанию в промышленных условиях. Потому прекрати флудить, когда люди отвечают по делу.

Тот же Протон ГЕ пытается сделать ренайс при запуске игры и естественно не может.

Как будто он это от большого ума делает. Не может — и хорошо, что не может. Дали бы этим васянам SCHED_RR безрутовый, они бы и его заюзали.

В ~/.bashrc добавь

alias 'programname='sudo programname'

а в /etc/sudoers добавь

user ALL=(ALL:ALL) NOPASSWD: programname

Читаем маны, там всё описяно.

В приличном обществе, хотя бы говорят man что читать.

Можешь написать кастомное правило для polkit. Ну или, если протон дёргает /usr/bin/renice вместо системного вызова, то проще настроить sudoers как подсказали выше.

А разве необходимость непосредственно писать sudo для команд это отменяет?

Ну в целом вариант конечно. Я про алиасы как то сразу даже не вспомнил.

Но как быть с гуевыми программами, требующими рута?

М кстати это не работает.

Добавил в /etc/sudoers.d/nopassword.conf

Но реакции вообще никакой. Все так же требует судо и пароль.

Глянь, может что-то пригодится: Linux Mint для Ламера (комментарий)

Но как быть с гуевыми программами, требующими рута?

PolicyKit

Ну и да, в bahsrc альясы с sudo.

@@ Две звезды
@@ Не знает как рулить правами в линуксах

Я и в пять звёзд не знаю указанные выше способы, особенно через системд это делать, кроме как через visudo.

И совершенно не стыдно

Есть такая штука - capabilities
https://man7.org/linux/man-pages/man7/capabilities.7.html
https://wiki.archlinux.org/title/Capabilities
Для ренайса например можно сделать так setcap cap_sys_nice+eip /.../binary

Но как быть с гуевыми программами, требующими рута?

Которые сами запрашивают? Скорее всего, они это делают через Policykit, нужно написать для него разрешающие правила.

Работай сразу под рутом

Ну вот ты многозвездочный и все знаешь, так подскажи почему добавленное в /etc/sudoers.d/nopassword.conf вообще не имеет эффекта?

Маны туда отсылают.

В конфиге то же вроде все верно:

myuser ALL=(ALL:ALL) NOPASSWD:/usr/bin/compsize

А compsize с судо все равно требует пароль.

Это гуглится setuid

в sudoers можно прописать nopasswd и пути полные лишь бы в той группе был

Но как быть с гуевыми программами, требующими рута?

gksudo

Дали бы этим васянам SCHED_RR безрутовый, они бы и его заюзали.

почему mpv запущенный с chrt -r 99 (пробовал разные приоритеты от 1 до 99) сильно тормозит? при обычном запуске не тормозит.

В современных дистрибутивах отображается через journalctl -k без необходимости в руте

И это просто шизофрения какая-то.

Ты же на винде работаешь под админом, так и здесь тоже так делай

В винде же по дефолту админ неполноценный, у него порезан токен.

Полноценный админ получается только после UAC, фактическит тот же sudo.

Почему это?

Ну потому что одни и те же данные через journalctl -k доступны, а через dmesg нет.

UAC убирается, чтобы не раздражал и получается sudo без пароля, а еще без ввода sudo, так что совсем не одно и то же, что обычный юзер + sudo

И чего ради ты решил некропостить?

там просто себя в группу systemd-journal добавляешь, а для dmesg:

> cat /etc/sysctl.d/99-dmesg.conf 
# dmesg без root
kernel.dmesg_restrict=0

Вот именно. А по умолчанию в большинстве дистрибутивов journalctl -k доступен для непривилегированного пользователя, а dmesg нет, потому что dmesg небезопасно, journalctl -k, видимо, безопасно, смотри не перепутай.

Ну и то, что разные механизмы доступа, тоже доставляет. С т.зр. модели уязвимости, journalctl должен читать через тот же механизм, что и dmesg (или наоборот), и краник, включающий возможность чтения логов, должен быть один.

Просто работать в винде под «админом» (который по дефолту и не админ вовсе), и работать в Линуксе под рутом (что ты и предложил) - это две большие разницы.

Упс, действительно некропост.

Одно и то же. От этих окошек UAC отмахиваются только в путь. next,next,finish вбивается изначально. Думать некогда, жать на кнопку надо

selinux выключи.

почему mpv запущенный с chrt -r 99 (пробовал разные приоритеты от 1 до 99) сильно тормозит?

Живая иллюстрация моего комментария

Многие предлагают sudo, но это слишком, слишком грубо. Зачем давать все права рута, когда нужно выполнить лишь одно, маленькое определённое действие?

С помощью capabilities можно настроить всё гораздо точнее. Тому же Протон ГЕ можно разрешить только лишь CAP_SYS_NICE, и ничего больше.

Почитайте man 7 capabilities, там много интересного.

Убить selinux