Adduser не из-под рута

[wunge]

Столкнулся с такой проблемой: нужно иметь возможность создавать пользователей без sudo, т.е. не от рута, но adduser этого не позволяет. Это нужно для того, чтобы автоматически запускаемый скрипт создавал пользователей.
Кого-нибудь сталкивался с подобным?
А вообще это возможно в Ubuntu? Или из-за этого придется ставить другую систему, что крайне не удобно.

P.S. Система: Ubuntu 9.04 Server

[jel]

Сделать-то можно, но очень смахивает на попытку надеть штаны через голову. В чем суть задачи? Попробуйте объяснить что хочется получить в итоге, возможно желаемого можно достичь более традиционными способами.

[Lolka]

Судо умеет ограничивать права суперпользователя одной командой -- скажем, создайте юзера, который может использовать sudo лишь в целях adduser. А вообще поддерживаю jel'а.

[Malamut]

Надо подумать... Возможно-то возможно, достаточно поставить SUID бит на adduser, но это, как его, немного опасно, поскольку любой пользователь сможет воспользоваться adduser. Более щадящий (и правильный) вариант: прописать в /ets/sudoers нужному юзеру (или всем юзверям) право на выполнение конкретно adduser без пароля, тогда достаточно будет ввести sudo adduser и всё запашет без пароля (вообще sudo наудивление гибкая в настройке штука и позволяет разруливать многие проблемы с доступом к различным фичам), возможно есть ещё извращения, но это два стандартных и самых правильных.

[terrible_user]

Набираешь
visudo
Добавляешь строку
happyuser  ALL = NOPASSWD: /usr/sbin/useradd

теперь пользователь happyuser  набирает
sudo useradd -m newhappyuser

[valler]

Это нужно для того, чтобы автоматически запускаемый скрипт создавал пользователей.

А что-то мешает этот скрипт запукать из-под рута?

[wunge]

Вообще мне нужно, чтобы через веб-интерфейс (апач) была возможность создавать пользователей.

[Oni-chan]

так апач же работает с рутовскими привилегиями О_о

[terrible_user]

Вообще мне нужно, чтобы через веб-интерфейс (апач) была возможность создавать пользователей.

Набираешь

Код: [Выделить]

visudoДобавляешь строку

Код: [Выделить]

www-data  ALL = NOPASSWD: /usr/sbin/useraddя так понимаю будет php интерфейс. вот как то так

Код: [Выделить]

echo shell_exec(" /usr/sbin/useradd -m ". $USER);Вообще лучше делать это через скрипты, там можно жестко зашить что должен выполнять apache. вместо того что бы давать безграничный доступ к самим утилитам. Ну и все так же разрешить выполнение в sudo

[Lion-Simba]

так апач же работает с рутовскими привилегиями О_о

давно?

[wunge]

Вопрос решился по совету terrible_user, за что ему большое спасибо .

P.S. для апача я напишу несколько баш-скриптов, которые и будут выполнять необходимые действия.
Кстати, а если в судоерс прописать разрешение только на сам скрипт, то на исполняемые внутри него команды это будет распространяться или нет?

[terrible_user]

Да все что будет делать скрипт будет иметь root права.
Стоит поставить права на скрипт 700 владелец:группа =  root:root, а разрешение на его выполнение назначить для пользователя www-data в sudo.

[wunge]

Большое спасибо! А то я уже всю голову сломал об этот вопрос.

[Frank]

sudo можно писать внутри скрипта, на нужных коммандах, соответственно, "обычные" команды того же скрипта будут выполняться от юзера. При этом надо ставить права на скрипт владелец:группа = root:www-data, 750. В sudoers, разумеется, давать права не на скрипт, а на команды, выполняемые в скрипте через sudo.

[terrible_user]

sudo можно писать внутри скрипта, на нужных коммандах, соответственно, "обычные" команды того же скрипта будут выполняться от юзера. При этом надо ставить права на скрипт владелец:группа = root:www-data, 750. В sudoers, разумеется, давать права не на скрипт, а на команды, выполняемые в скрипте через sudo.

Если дальше развивать управление сервером через php, наращивать функционал, то скрипты могут содержать и пароли (например скрипты связные с mysql ), то в итоге в целях конечно только безопасности нельзя давать возможности видеть текст скрипта и произвольного функционала.
Ну это как говорится совсем другая история