Re: Выполнение привелигированых команд пользователем.
Evgeny Zubok -> debian-russian@lists.debian.org @ Mon, 14 Dec 2015 18:37:48 +0300:
>> Для меня привычные команды:
>>
>> $ sudo halt
>> $ sudo pm-suspend
>>
>> Они требуют прав root. Но пользователь декстопа должен иметь право выполнять
>> эти операции!
>>
>> Как это сделано в популярных DE? В ~/.fvwm/config для себя я пропишу с sudo,
>> но выглядит как то некошерно...
EZ> Почему некошерно? Дай права выполняться без пароля только этим
EZ> командам. У меня icewm и вот мой /etc/sudoers. Я даю новой группе
EZ> shutdown (символ %) права на выполнение операций перезагрузки без
EZ> пароля, добавляю пользователя в эту группу, и все. Остальные команды уже
EZ> будут требовать пароля.
EZ> Cmnd_Alias POWEROFF = /sbin/shutdown, /sbin/halt, /sbin/reboot, \
EZ> /sbin/poweroff, /usr/sbin/pm-suspend, \
EZ> /usr/sbin/pm-hibernate
EZ>
EZ> %shutdown ALL = (root) NOPASSWD: POWEROFF
Дело не столько в том, что это некошерно, сколько... никогда не
приходилось ребутить НЕ ТУ машину?
Я вполне намеренно держу на разных серверах разные пароли, и sudo на них
везде парольный. Лишняя степень защиты от невнимательности. Если
пароль не подошел, начинаешь задумываться, на каком хосте ты выполняешь
команду :)
В этом смысле выставление capability юзеру, залогиненному локально и
только ему - неплохая защита от невнимательности.
Даже если ты никогда не работаешь в иксах удаленно (и пункт меню DE
всегда вызывает только на локальной машине), настройка sudo - это не
настройка иксового сеанса. Возможность нечаянно отребутить машину при
заходе на нее по сети остается. sudo не умеет отличать сетевой вход от
локального.
Reply to: