ich weiß nicht wie sehr es dir weiterhilft, aber mir war so als ob sudo auch durch ein zentrales LDAP verzeichnes verwaltet werden kann.
Somit könnten auf den Embedded Geräten alle sudo konfigurationen dynamisch nach Anforderung konfiguriert werden.
Hallo David, danke für deine ausführliche Antwort,
Am 26.01.2018 um 09:03 schrieb David Haller:
Am Fri, 26 Jan 2018, Andreas Weber schrieb:
Dem Benutzer "sudo" geben will man auch nicht.
[ ] du hast sudo verstanden
Ich habe das etwas unglücklich ausgedrückt und hätte schreiben sollen
"Ich will dem normalen Benutzer nicht via sudo root Rechte geben"
Gibt es sowas schon? Wenn nicht gehe ich davon aus, dass es eine
dämliche Idee ist :-)
Und ob. Du willst sudo nachbauen. Und wirst dabei Fehler machen.
Ich habe nie gesagt ich will sudo nachbauen.
Sowas wie "sudo geben" gibt's nicht. Sudo ist dazu da, bestimmten(!)
Usern (und -gruppen[1]) bestimmte(!) Kommandos (und -gruppen[1]) als
anderer User (z.B. als root) ausführen zu lassen, z.B. bei Scripten
bei denen ein suid-bit ja zwecklos ist.
Ja, das ist mir klar.
Nochmal: RTFM! Tret die default-config gepflegt in die Tonne (bzw.
erstmal nur umbenennen ;) und fang bei Null an. Oder hiermit (schon
über "LANG" als "aufzuhebende" Umgebungsvariable läßt sich diskutieren)
====
Defaults targetpw
Defaults always_set_home
Defaults env_reset
Defaults env_keep = "DISPLAY TERM"
Defaults env_check = "DISPLAY TERM"
Defaults passwd_timeout=1
Defaults timestamp_timeout=0
Defaults insults
root ALL=(ALL) ALL
====
dann sollten IMO nur noch ganz gezielte Einträge für spezifische User
und Kommandos folgen, Schema:
${USER} ${HOST}=(${TARGET_USER}) [NOPASSWD:]${COMMAND} ...
z.B. hier z.B.:
dh host=(root) NOPASSWD:/usr/local/sbin/ifup "",/usr/local/sbin/ifdown ""
dh host=(news) NOPASSWD:/usr/sbin/fetchnews
Man beachte die "" hinter ifup/ifdown bzw. deren fehlen bei fetchnews.
Soweit war ich schon mit RTFM aber hier werden, wie du oben ja auch
schriebst, bestimmten Benutzern/Gruppen erlaubt spezifische Befehle zu
verwenden.
Wenn du's also richtig machst, darf dein normal user nur _genau_
spezifizierte Kommandos (wie dein script) auf jew. genau eine Art
aufrufen und sonst gar nichts als ein anderer User (wie root).
Das setzt aber voraus, dass zum Zeitpunkt der Konfiguration des
Systems/(beim Erstellen von /etc/sudoers) schon klar war, was genau man
den Benutzer erlauben will. Und das ist bei mir eben nicht der Fall.
Du mußt es nur konfigurieren.
...
*seufz*
Ich werde nochmal tiefer in sudo einsteigen, ich bin mir aber nicht ganz
sicher ob du meine Anforderung missverstanden hast.
Danke, Gruß Andy