[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Konfiguration durch Skript durch "normalen Benutzer"



Hallo Andreas,

ich weiß nicht wie sehr es dir weiterhilft, aber mir war so als ob sudo auch durch ein zentrales LDAP verzeichnes verwaltet werden kann.
Somit könnten auf den Embedded Geräten alle sudo konfigurationen dynamisch nach Anforderung konfiguriert werden.

Grüße
Hannes
On Fri, 2018-01-26 at 09:54 +0100, Andreas Weber wrote:
Hallo David, danke für deine ausführliche Antwort,

Am 26.01.2018 um 09:03 schrieb David Haller:
Am Fri, 26 Jan 2018, Andreas Weber schrieb:
Dem Benutzer "sudo" geben will man auch nicht.
[ ] du hast sudo verstanden
Ich habe das etwas unglücklich ausgedrückt und hätte schreiben sollen "Ich will dem normalen Benutzer nicht via sudo root Rechte geben"
Gibt es sowas schon? Wenn nicht gehe ich davon aus, dass es eine dämliche Idee ist :-)
Und ob. Du willst sudo nachbauen. Und wirst dabei Fehler machen.
Ich habe nie gesagt ich will sudo nachbauen.
Sowas wie "sudo geben" gibt's nicht. Sudo ist dazu da, bestimmten(!) Usern (und -gruppen[1]) bestimmte(!) Kommandos (und -gruppen[1]) als anderer User (z.B. als root) ausführen zu lassen, z.B. bei Scripten bei denen ein suid-bit ja zwecklos ist.
Ja, das ist mir klar.
Nochmal: RTFM! Tret die default-config gepflegt in die Tonne (bzw. erstmal nur umbenennen ;) und fang bei Null an. Oder hiermit (schon über "LANG" als "aufzuhebende" Umgebungsvariable läßt sich diskutieren) ==== Defaults targetpw Defaults always_set_home Defaults env_reset Defaults env_keep = "DISPLAY TERM" Defaults env_check = "DISPLAY TERM" Defaults passwd_timeout=1 Defaults timestamp_timeout=0 Defaults insults root ALL=(ALL) ALL ==== dann sollten IMO nur noch ganz gezielte Einträge für spezifische User und Kommandos folgen, Schema: ${USER} ${HOST}=(${TARGET_USER}) [NOPASSWD:]${COMMAND} ... z.B. hier z.B.: dh host=(root) NOPASSWD:/usr/local/sbin/ifup "",/usr/local/sbin/ifdown "" dh host=(news) NOPASSWD:/usr/sbin/fetchnews Man beachte die "" hinter ifup/ifdown bzw. deren fehlen bei fetchnews.
Soweit war ich schon mit RTFM aber hier werden, wie du oben ja auch schriebst, bestimmten Benutzern/Gruppen erlaubt spezifische Befehle zu verwenden.
Wenn du's also richtig machst, darf dein normal user nur _genau_ spezifizierte Kommandos (wie dein script) auf jew. genau eine Art aufrufen und sonst gar nichts als ein anderer User (wie root).
Das setzt aber voraus, dass zum Zeitpunkt der Konfiguration des Systems/(beim Erstellen von /etc/sudoers) schon klar war, was genau man den Benutzer erlauben will. Und das ist bei mir eben nicht der Fall.
Du mußt es nur konfigurieren. ... *seufz*
Ich werde nochmal tiefer in sudo einsteigen, ich bin mir aber nicht ganz sicher ob du meine Anforderung missverstanden hast. Danke, Gruß Andy

Reply to: