Re: Sudo

To: debian-russian@lists.debian.org
Subject: Re: Sudo
From: Eugene Berdnikov <bd4@protva.ru>
Date: Thu, 8 Aug 2019 19:21:06 +0300
Message-id: <[🔎] 20190808162105.GC19851@sie.protva.ru>
In-reply-to: <[🔎] 871rxvisqb.fsf@gmail.com>
References: <[🔎] Hr7wLyCdwoCHiVE2JJZzL8fhKcpj62P2RTh4qquRd78UIMSX889GuXi0u28Slh6SDgquFU8yAkmY_9I7fkbeIWCGuX11UQBcqMw994wMijc=@protonmail.com> <[🔎] 871rxvisqb.fsf@gmail.com>

On Thu, Aug 08, 2019 at 06:26:04PM +0300, Dmitry Alexandrov wrote:
> "S.Kholodny" <s.kholodny@protonmail.com> wrote:
> > Как настроить команду так, чтобы весь код скрипта проходил через обычного пользователя, и только sudo - от рута?
> 
> Вы хотите вызывать sudo(8) в своей программе?  Так не делается, делается наоброт: программа запускается со всеми ей необходимыми правами, а затем они прозрачно для запускающего _сбрасываются_ до минимально нужных.

 Часто бывает нужно в скрипте какие-то действия выполнять под обычным
 пользователем, а какие-то под рутом, причём всё это, что важно, чередуется.
 Если же права один раз сбросить, вернуть их обратно уже крайне сложно.
 
 Вызовы sudo в таком случае -- самое правильное решение. При таком подходе
 скрипт может писать любой юзер, не думающий о безопасности, а ограничения
 (через правила sudo) накладываются на отдельные критичные операции.
 И что важно, формализует эти ограничения сисадмин, который обычно
 лучше юзера разбирается в вопросах безопасности.
-- 
 Eugene Berdnikov

Reply to:

Follow-Ups:
- Re: Sudo
  - From: Коля Гурьев <guriev-ns@ya.ru>

References:
- Sudo
  - From: "S.Kholodny" <s.kholodny@protonmail.com>
- Re: Sudo
  - From: Dmitry Alexandrov <321942@gmail.com>

Prev by Date: Re: Sudo
Next by Date: Re: Sudo
Previous by thread: Re: Sudo
Next by thread: Re: Sudo
Index(es):
- Date
- Thread