разрешить группе Wheel работать с определенной папкой

En Linux, los privilegios de root se dividieron en un momento en "capacidades", por lo que puede obtener una lista completa de los privilegios especiales de root al consultar esa documentación:man 7 capabilities.

Para responder a su pregunta, un comando requerirá ejecutarse como root cuando necesite uno de estos privilegios, y su script ejecutable no -no tiene la capacidad relevante establecida en sus metadatos de archivo (, p. si un script de python requiere la capacidad, entonces la capacidad debería estar en el intérprete de python especificado en la línea shebang ).

Tenga en cuenta que algunos comandos que necesitan acceso de root no necesitan algo como sudoporque tienen el bit SUID establecido en su ejecutable. Este bit hace que el ejecutable se ejecute como el propietario (, normalmente root )cuando lo ejecuta cualquier persona que tenga acceso de ejecución. Un ejemplo es sudomismo, ya que cambiar de usuario es una acción privilegiada que debe realizar.

EDITAR :Observo de su pregunta que es posible que tenga la idea de que puede determinar si un comando necesitará acceso de root antes de ejecutarlo. Ese no es el caso.Un programa a veces puede requerir privilegios de root y otras veces no, y esto podría ser una decisión tomada por el programa debido a los datos que se proporcionan durante el tiempo de ejecución. Tomemos, por ejemplo, llamar a vim, así sin argumentos, y luego a través de una serie de pulsaciones de teclas y pegado, diciéndole que escriba algo en un archivo que no tiene permiso para escribir, o tal vez ejecutando otro comando que requerirá root privilegios. Nada sobre el comando antes de ejecutarlo podría indicar que eventualmente requeriría acceso de root. Eso es algo que solo se puede determinar en el momento en que intenta hacer algo que lo requiere.

De todos modos, aquí hay muy pocos ejemplos de la página de manual referenciada de los privilegios de root:

• Realiza manipulaciones arbitrarias de UID de proceso (setuid (2 ), setreuid (2 ), setresuid (2 ), setfsuid (2 ));
• Omita las verificaciones de permisos de lectura, escritura y ejecución de archivos. (DAC es una abreviatura de "control de acceso discrecional".)
• Omitir verificaciones de permisos para enviar señales (ver kill (2 )). Esto incluye el uso de la operación ioctl (2 )KDSIGACCEPT.
• Realizar varias operaciones relacionadas con la red -:
  • configuración de la interfaz;
  • administración de cortafuegos IP, enmascaramiento y contabilidad;
  • modificar tablas de enrutamiento;
• Asociar un socket a puertos privilegiados de dominio de Internet (números de puerto inferiores a 1024 ).
• Cargue y descargue los módulos del kernel (vea init _módulo (2 )y borre _módulo (2 ));
• Configurar el reloj del sistema (configurar la hora del día (2 ), stime (2 ), adjtimex (2 )); configurar el reloj de hardware )de tiempo real -tiempo (.
• Realice una variedad de operaciones de administración del sistema que incluyen :quotectl (2 ), mount (2 ), umount (2 ), swapon (2 ), swapoff (2 ), sethostname (2 )y setdomainname (2 );
• Use reiniciar (2 )y kexec _cargar (2 ).
• Usar chroot (2 ).
• Aumentar el valor agradable del proceso (agradable (2 ), establecer prioridad (2 ))y cambiar el valor agradable para procesos arbitrarios;