Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Назначение прав пользователю (sudoers)  (Прочитано 10747 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн TheDestroyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Надо создать пользователя c собственным паролем и определенными правами: чтобы он мог получать список процессов, убивать нужный найденный процесс, мог запускать указанные файлы.
Создал пользователя:
adduser /home/testuser testuserНачитавшись man sudoers, добавляю в фаил sudoers строки:
testuser    ALL = NOPASSWD: !/bin/*, PASSWD: /bin/kill, /bin/ps
Нужно запретить выполнение всех команд, кроме заданных, это делается так?
Также сколько я ни старался всеравно доступны все команды.
Если в sudoers выставить:
testuser ALL= !/usr/bin/ls, !/bin/lsТо, например, если ввести из консоли ls выдаст список директорий.
Как заставить работать ограничения?
Может что-то нужно делать после правки файла sudoers?

Оффлайн kastigar

  • Любитель
  • *
  • Сообщений: 74
    • Просмотр профиля
Re: Назначение прав пользователю (sudoers)
« Ответ #1 : 19 Июня 2008, 12:30:45 »
Епт, так ты не в ту сторону копаешь. sudoers отностися только к запуску через sudo!!!

Оффлайн TheDestroyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Назначение прав пользователю (sudoers)
« Ответ #2 : 19 Июня 2008, 23:38:06 »
Забыл добавить, что мне надо от этого пользователя выполнять команды через php, соответственно там через sudo или su буду выполнять команды. Подскажите, как справиться с этим  sudoers.

Оффлайн TheDestroyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Назначение прав пользователю (sudoers)
« Ответ #3 : 23 Июня 2008, 16:13:30 »
 Хотелось бы получить ответ от знающих людей. Еще вопрос: sudoers фаил только для sudo команды или подходит и для того когда юзер сидит за клавиатурой

Оффлайн kastigar

  • Любитель
  • *
  • Сообщений: 74
    • Просмотр профиля
Re: Назначение прав пользователю (sudoers)
« Ответ #4 : 24 Июня 2008, 14:31:53 »
> sudoers фаил только для sudo команды или подходит и для того когда юзер сидит за клавиатурой

А в школу ходят только дети или мальчики тоже ходят? ;)
Чет ты глупое спросил...

sudoers - это набор правил для команды sudo. Что ты подразумеваешь под "юзер сидит за клавиатурой" я немного недопонял.

Я ж говорю, ты не в ту сторону копаешь. Вот тебе конкретный пример.
Добавил в sudoers:
testuser    ALL = NOPASSWD: !/bin/*, PASSWD: /bin/kill, /bin/ps(тебе кстати и запрещать не нужно /bin/*, все автоматом запрещено :), просто разрешаешь /bin/kill и /bin/ps)
теперь в консоли от этого пользователя:
sh-3.2$ sudo ls
Sorry, user testuser is not allowed to execute '/bin/ls' as root on localhost.
sh-3.2$ sudo ps
  PID TTY          TIME CMD
11723 pts/5    00:00:00 ps
sh-3.2$ sudo kill
Usage:
  kill pid ...              Send SIGTERM to every process listed.
  kill signal pid ...       Send a signal to every process listed.
  kill -s signal pid ...    Send a signal to every process listed.
  kill -l                   List all signal names.
  kill -L                   List all signal names in a nice table.
  kill -l signal            Convert between signal numbers and names.
sh-3.2$ sudo echo "aaa"
Sorry, user testuser is not allowed to execute '/bin/echo aaa' as root on localhost.
sh-3.2$

как видишь, все прекрасно работает! Но это если через sudo.
Без sudo:
sh-3.2$ ls
bin   boot_bup  dev  gentoo  initrd      initrd.img.old  media  opt       proc  sbin  stuff  tmp  var      vmlinuz.old
boot  cdrom     etc  home    initrd.img  lib             mnt    pda_root  root  srv   sys    usr  vmlinuz
sh-3.2$ ps
  PID TTY          TIME CMD
11696 pts/5    00:00:00 su
11697 pts/5    00:00:00 sh
11729 pts/5    00:00:00 ps
sh-3.2$ kill
kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
sh-3.2$ echo "aaaa"
aaaa
sh-3.2$
все прекрасно работает, ядро то не смотрит в этот файлик (sudoers), да и не должно, для этого есть права. Права на бинарники обычно rwxr-xr-x, что говорит о том что пускать их могут все от своего имени!

Оффлайн TheDestroyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Назначение прав пользователю (sudoers)
« Ответ #5 : 30 Июня 2008, 15:29:14 »
Спасибо, с sudo разобрался, но осталась проблема: https://forum.ubuntu.ru/index.php?topic=30928.0

 

Страница сгенерирована за 0.034 секунд. Запросов: 23.