Системные пользоватли и группы

Cоздать ограниченную в правах сервисную группу

addgroup --system --gid 14956 pihole

• --system — помечает группу, как системную; Они используются для внутренних нужд системы/сервисов, а не обычных пользователей
• --gid 14956 — указывает явный идентификатор группы (GID) — в данном случае 14956;
• pihole — название создаваемой группы;

Cоздать ограниченного в правах сервисного пользователя

adduser --system --gecos 'Unbound and Pihole DNS service' \
    --disabled-password --uid 14956 --ingroup pihole \
    --shell /sbin/nologin --home /opt/pihole/data pihole

• --system — помечает пользователя как системного;

  UID будет взят из диапазона системных UID (100–999), если не задан явно

• --gecos — позволяет задать описание пользователя;
• --disabled-password — отключает пароль у пользователя (в таком случае под ним нельзя авторизоваться в системе с помощью пароля);
• --uid 14956 — указывает явный идентификатор пользователя (UID) — в данном случае 14956;
• --ingroup pihole — добавляет пользователя в созданную ранее группу pihole;
• --shell /sbin/nologin — Отключает интерактивный вход в систему. Полезно для сервисных учёток;
• --home /opt/pihole/data — Указывает домашний каталог пользователя. Обычно для системных пользователей это путь, связанный с сервисом.
• pihole — имя создаваемого пользователя.

Файл с перечнем ограниченных прав sudoers

visudo -f /etc/sudoers.d/90_pihole

безопасный способ добавить кастомные настройки без правки основного /etc/sudoers

Cmnd_Alias — создание псевдонима для набора команд. Здесь ты задаёшь список разрешённых docker-команд.

Всё жёстко привязано к конкретному docker-compose.yml, что хорошо с точки зрения безопасности

Cmnd_Alias PIHOLE_DOCKER = \
    /usr/bin/docker compose -f /opt/pihole/docker-compose.yml up, \
    /usr/bin/docker compose -f /opt/pihole/docker-compose.yml down

pihole ALL = (:docker) NOPASSWD: PIHOLE_DOCKER

Пользователь pihole сможет выполнять:

sudo -g docker /usr/bin/docker compose -f /opt/pihole/docker-compose.yml up

sudo -g docker /usr/bin/docker compose -f /opt/pihole/docker-compose.yml down

1. 🟢 Без запроса пароля
2. 🔒 Только строго определённые действия
3. 🚫 Не даёт широких sudo-прав