Re: Ausführungsrechte
* Peter Jordan <usernetwork@gmx.info> (Fri, 06 Jul 2007 09:24:07 +0200):
>
> Thomas Sesselmann, 07/06/07 07:50:
> >
> > nur so als Hinweis:
> > Dir ist schon klar wenn jemand rsync mit root-Rechten ausführen kann, dann
> > kann er dir auch das komplette System zerhackstückeln (und schlimmer) ...
>
> das ist mir klar, aber mit sudo könnte man ja die Parameter entsprechend
> beschränken
Möglicherweise könnte/sollte man auch ein wrapper script schreiben, das
die gewünschte Operation (und nur die) ausführt und etwaige
Zusatz-Parameter entsprechend prüft, und den usern nur sudo-Rechte für
den wrapper geben. Das wäre evtl. auch nutzerfreundlicher (nicht ständig
mit dem vollständigen Parametersatz 'rumhantieren müssen) und könnte
mehr/bessere Einschränkung der Parameter als in der sudoers erlauben.
> > Ich weiß ja nicht was diese Gruppe mir rsync machen soll,
> > aber evtl. gibt es ja auch eine elegantere Lösung?
>
> die da zb wären?
Wofür brauchen die Benutzer denn root-Rechte für rsync, also, was
sollen/werden sie dann tun?
> >
> > (das das mit sudo geht wurde ja schon geschrieben)
> >
>
> kann/sollte ich die sudoers auch ohne visudo verändern?
Technisch ist das möglich; doch prüft visudo nach dem Editieren auf
übliche Fehler und ersetzt ggf. nicht sofort die Systemkonfiguration
(was sonst sofort von Nutzern auf dem System ausgenutzt werden könnte),
ist also stark zu empfehlen.
Meiner Erfahrung nach ist die sudoers höchst fragil, ein simpler
Groß-/Kleinschreibungsfehler in einem Schlüsselwort o.ä. kann die
Interpretation durch sudo völlig auf den Kopf stellen. Ohne
visudo-Warnungen hätte ich's wohl nicht so schnell gemerkt...
Gruß, Fabian
--
Fabian "zzz" Pietsch - http://zzz.arara.de/
Reply to: