Запуск программы без доступа к моим данным

[avi9526]

Код: [Выделить]

useradd -M -N -s /bin/bash testuser1
usermod testuser1 -d "/home/avi9526/Programs/temp/"
addgroup testuser1-group
usermod -aG testuser1-group testuser1
chown -R testuser1:testuser1-group "/home/avi9526/Programs/temp/"
chmod -R 777 "/home/avi9526/Programs/temp/"
при попытке

Код: [Выделить]

sudo -u testuser1 ./run.shвсеравно требует(

[ArcFi]

А разве не нужно NOPASSWD для run.sh добавлять в /etc/sudoers?

[Alie Alexandross]

Обратите внимание на мой предыдущий пост. У вас в родительском каталоге /home/avi9526 не установлены права на запуск третьим лицам

Код: [Выделить]

ls -l /home/avi9526
drwx------Потому или
а). Назначьте домашнему каталогу право на запуск третьим лицам
б). Создайте новый каталог в /home для пользователя boinc
в). Создайте подкаталог в /etc/boinc_приложение/boinc и запускайте скрипт оттуда через nobody.

sudo NOPASSWD назначать не безопастно: гипотетически возможно что некий "boinc" имея право на запись поправит крипт на rm -rf  ?

[ArcFi]

Имею ввиду

Код: [Выделить]

my_user ALL = (limited_user) NOPASSWD: /usr/local/bin/run.sh

Довольно странно, учитывая то, что сама проверила запустить от имени другого непривилегированного пользователя простую команду echo и ls - пароль не потребовался.

Если я, не имея прав на просмотр домашнего каталога другого пользователя, без всякой аутентификации делаю листинг этого каталога от имени владельца, это получается... уязвимость, или про ключик "-k" забыли?

[Alie Alexandross]

Дом. каталог другого пользователя посмотреть нельзя. Проверяла ls /

[Гарри Кашпировский]

мой пароль требует О_о, а мне его а автозапуск добавить надо( пароль не в тему. Что делать? (кроме man *)

Через start-stop-daemon. А что это Вам man не нравиться?

[avi9526]

спасибо за ответы, я пришел к выводу, что в boinc из репозитория как раз очень хорошо реализован этот принцип запуска от системного пользователя boinc (он как демон запускается, пользователя создает при установке в postinst, команды я от туда брал),... осталось разобраться с apparmor, но это наверное другая история )