pouziti EUID a EGID
kratochvil na dbsystem.com
kratochvil na dbsystem.com
Pátek Červenec 12 08:10:33 CEST 2002
On Thu, Jul 11, 2002 at 05:06:08PM +0200, Jan Houstek wrote:
> > > Rad bych povolil spousteni napr prikazu mount take neprivilegovanym
> > > uzivatelum. Vsude se doctu jak nastavit s bit pto uzivatele i skupinu
> > > (chmod 4xxx || chmod 2xxx) ale uz nikde nemuzu najit co dalsiho je
> > > treba udelat (zrejme upravit /etc/group, vytorit /etc/mount.allow
> > > ...)
> > > Mohl by mi dat nekdo obecny postup.
> >
> > No, pokial pridas do /etc/fstab do riadku parameter user,noauto tak by
> > to malo robit to co chces. Alebo som to zle pochopil?
>
> Pokud jde o konkretni svazek na (u)mountovani, tak /etc/fstab. Pokud maji
> urciti lide spoustet mount jako root (tedy cokoliv umountovat ci
> primountovat), tak se to necha pres sudo, ale pokud nekomu povolite neco
> takoveho, tak to uz mu rovnou muzete dat roota, vyjde to nastejno ...
>
Myslim ze tazatel chtel obecny postup pro jakykoliv "privilegovany"
prikaz, bohuzel si vybral zrovna mount u ktereho se pozadovana cinnost
da udelat i naznacenymi zpusoby pro vybrane svazky.
Pokud chcete aby k urcitym prikazum meli pristup urciti uzivatele mate
dve zakladni moznosti:
1) sudo - je dostatecne popsane v man page
2) neco ve stylu:
vytvorit skupinu ktera muze dany prikaz spoustet,
u prikazu nastavit vlastnictvi root:dana_skupina
u prikazu nastavit prava srwxr-x---
obecne postup 2) vsak nelze doporucit, je potreba radne zvazit co s
danym prikazem muze uzivatale zpusobit. Je to potencionalni bezpecnostni
dira. Dalsi nevyhodou je ze, prikaz nemuze spoustet nikdo jiny nez dana
skupina a root. Coz napriklad u zminovaneho mount neni myslim zcela
zadouci (odeberete ostatnim uzivatelum moznost si mountovat
"neprivilegovane" svazky napr. cdrom). I nektere dalsi prikazy maji
"neprivilegovany" mod.
Myslim ze by se naslo nekolik dalsich zpusobu jak tuto konkretni vec
vykonat. IMHO nejrozumejsi zpusob je pomoci sudo. Ma to sice (ne) vyhodu
ze pokud chce uzivatel spustit prikaz v privilegovanem modu musi zapsat
$ sudo command
popr. zadat sve heslo. Zas na druhou stranu ho aspon "trkne" ze bude
cosi vykonavat v privilegovanem modu.
KLoK
Další informace o konferenci Linux