Re: Konfiguration durch Skript durch "normalen Benutzer"
Hallo David, danke für deine ausführliche Antwort,
Am 26.01.2018 um 09:03 schrieb David Haller:
> Am Fri, 26 Jan 2018, Andreas Weber schrieb:
>> Dem Benutzer "sudo" geben will man auch nicht.
>
> [ ] du hast sudo verstanden
Ich habe das etwas unglücklich ausgedrückt und hätte schreiben sollen
"Ich will dem normalen Benutzer nicht via sudo root Rechte geben"
>> Gibt es sowas schon? Wenn nicht gehe ich davon aus, dass es eine
>> dämliche Idee ist :-)
>
> Und ob. Du willst sudo nachbauen. Und wirst dabei Fehler machen.
Ich habe nie gesagt ich will sudo nachbauen.
> Sowas wie "sudo geben" gibt's nicht. Sudo ist dazu da, bestimmten(!)
> Usern (und -gruppen[1]) bestimmte(!) Kommandos (und -gruppen[1]) als
> anderer User (z.B. als root) ausführen zu lassen, z.B. bei Scripten
> bei denen ein suid-bit ja zwecklos ist.
Ja, das ist mir klar.
> Nochmal: RTFM! Tret die default-config gepflegt in die Tonne (bzw.
> erstmal nur umbenennen ;) und fang bei Null an. Oder hiermit (schon
> über "LANG" als "aufzuhebende" Umgebungsvariable läßt sich diskutieren)
>
> ====
> Defaults targetpw
> Defaults always_set_home
> Defaults env_reset
> Defaults env_keep = "DISPLAY TERM"
> Defaults env_check = "DISPLAY TERM"
> Defaults passwd_timeout=1
> Defaults timestamp_timeout=0
> Defaults insults
>
> root ALL=(ALL) ALL
> ====
>
> dann sollten IMO nur noch ganz gezielte Einträge für spezifische User
> und Kommandos folgen, Schema:
>
> ${USER} ${HOST}=(${TARGET_USER}) [NOPASSWD:]${COMMAND} ...
>
> z.B. hier z.B.:
>
> dh host=(root) NOPASSWD:/usr/local/sbin/ifup "",/usr/local/sbin/ifdown ""
> dh host=(news) NOPASSWD:/usr/sbin/fetchnews
>
> Man beachte die "" hinter ifup/ifdown bzw. deren fehlen bei fetchnews.
Soweit war ich schon mit RTFM aber hier werden, wie du oben ja auch
schriebst, bestimmten Benutzern/Gruppen erlaubt spezifische Befehle zu
verwenden.
> Wenn du's also richtig machst, darf dein normal user nur _genau_
> spezifizierte Kommandos (wie dein script) auf jew. genau eine Art
> aufrufen und sonst gar nichts als ein anderer User (wie root).
Das setzt aber voraus, dass zum Zeitpunkt der Konfiguration des
Systems/(beim Erstellen von /etc/sudoers) schon klar war, was genau man
den Benutzer erlauben will. Und das ist bei mir eben nicht der Fall.
> Du mußt es nur konfigurieren.
> ...
> *seufz*
Ich werde nochmal tiefer in sudo einsteigen, ich bin mir aber nicht ganz
sicher ob du meine Anforderung missverstanden hast.
Danke, Gruß Andy
Reply to: