Re: Konfiguration durch Skript durch "normalen Benutzer"

To: debian-user-german@lists.debian.org
Subject: Re: Konfiguration durch Skript durch "normalen Benutzer"
From: Andreas Weber <spam@josoansi.de>
Date: Fri, 26 Jan 2018 09:54:27 +0100
Message-id: <[🔎] e7680700-524b-8ee6-ba84-26e77f45b9ea@josoansi.de>
In-reply-to: <[🔎] 20180126080338.7khnvwbayslm33p3@grusum.endjinn.de>
References: <[🔎] 65f490b6-8a59-c181-833c-9d17e1a44af8@josoansi.de> <[🔎] 20180126080338.7khnvwbayslm33p3@grusum.endjinn.de>

Hallo David, danke für deine ausführliche Antwort,

Am 26.01.2018 um 09:03 schrieb David Haller:
> Am Fri, 26 Jan 2018, Andreas Weber schrieb:
>> Dem Benutzer "sudo" geben will man auch nicht.
> 
> [ ] du hast sudo verstanden

Ich habe das etwas unglücklich ausgedrückt und hätte schreiben sollen
"Ich will dem normalen Benutzer nicht via sudo root Rechte geben"

>> Gibt es sowas schon? Wenn nicht gehe ich davon aus, dass es eine
>> dämliche Idee ist :-)
> 
> Und ob. Du willst sudo nachbauen. Und wirst dabei Fehler machen.

Ich habe nie gesagt ich will sudo nachbauen.

> Sowas wie "sudo geben" gibt's nicht. Sudo ist dazu da, bestimmten(!) 
> Usern (und -gruppen[1]) bestimmte(!) Kommandos (und -gruppen[1]) als
> anderer User (z.B. als root) ausführen zu lassen, z.B. bei Scripten
> bei denen ein suid-bit ja zwecklos ist.

Ja, das ist mir klar.

> Nochmal: RTFM! Tret die default-config gepflegt in die Tonne (bzw. 
> erstmal nur umbenennen ;) und fang bei Null an. Oder hiermit (schon
> über "LANG" als "aufzuhebende" Umgebungsvariable läßt sich diskutieren)
> 
> ====
> Defaults targetpw
> Defaults always_set_home
> Defaults env_reset
> Defaults env_keep = "DISPLAY TERM"
> Defaults env_check = "DISPLAY TERM"
> Defaults passwd_timeout=1
> Defaults timestamp_timeout=0
> Defaults insults
> 
> root    ALL=(ALL) ALL
> ====
> 
> dann sollten IMO nur noch ganz gezielte Einträge für spezifische User
> und Kommandos folgen, Schema:
> 
> ${USER}    ${HOST}=(${TARGET_USER}) [NOPASSWD:]${COMMAND} ...
> 
> z.B. hier z.B.:
> 
> dh      host=(root) NOPASSWD:/usr/local/sbin/ifup "",/usr/local/sbin/ifdown ""
> dh      host=(news) NOPASSWD:/usr/sbin/fetchnews
> 
> Man beachte die "" hinter ifup/ifdown bzw. deren fehlen bei fetchnews.

Soweit war ich schon mit RTFM aber hier werden, wie du oben ja auch
schriebst, bestimmten Benutzern/Gruppen erlaubt spezifische Befehle zu
verwenden.

> Wenn du's also richtig machst, darf dein normal user nur _genau_
> spezifizierte Kommandos (wie dein script) auf jew. genau eine Art
> aufrufen und sonst gar nichts als ein anderer User (wie root).

Das setzt aber voraus, dass zum Zeitpunkt der Konfiguration des
Systems/(beim Erstellen von /etc/sudoers) schon klar war, was genau man
den Benutzer erlauben will. Und das ist bei mir eben nicht der Fall.

> Du mußt es nur konfigurieren.
> ...
> *seufz*

Ich werde nochmal tiefer in sudo einsteigen, ich bin mir aber nicht ganz
sicher ob du meine Anforderung missverstanden hast.

Danke, Gruß Andy

Reply to:

Follow-Ups:
- Re: Konfiguration durch Skript durch "normalen Benutzer"
  - From: Hannes Eberhardt <heberhardt@angstroem.audio>

References:
- Konfiguration durch Skript durch "normalen Benutzer"
  - From: Andreas Weber <spam@josoansi.de>
- Re: Konfiguration durch Skript durch "normalen Benutzer"
  - From: David Haller <lists@dhaller.de>

Prev by Date: Re: Konfiguration durch Skript durch "normalen Benutzer"
Next by Date: Re: Konfiguration durch Skript durch "normalen Benutzer"
Previous by thread: Re: Konfiguration durch Skript durch "normalen Benutzer"
Next by thread: Re: Konfiguration durch Skript durch "normalen Benutzer"
Index(es):
- Date
- Thread