LINUX.ORG.RU
ФорумAdmin

Запуск скриптов от непривилегированного пользователя

 


0

2

Добрый день.
Вопрос простой, но не как не могу понять, как это сделать на gentoo, если совсем конкретно, то нужно дать непривилегированному пользователю возможность запускать 2 скрипта( gearman, supervisor ) которые лежат в /etc/init.d, без sudo, то есть что бы обычный пользователь мог как рут просто взять да и набрать /etc/init.d/gearman start и тот запустился.


через sudo с NOPASSWD: для пользователя, группы пользователей или алиаса

zunkree
()

suid-бит поставь.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от funeralismatic

gearman сервер очередей, я так понимаю это не совсем хорошая идея такие вещи давать пользователь для запуска ?

rdbn
() автор топика

Ты что-то делаешь не так...

deterok ★★★★★
()
Ответ на: комментарий от Pinkbyte

меня уже больше беспокоит вопрос, а надо ли это вообще делать, ведь такое может привести к весьма плохим последствиям

rdbn
() автор топика

chgrp

groups

anonymous
()

щас набегут системдешники и скажут что в системд есть юзер таргеты. В апстарте кстати тоже есть.

nanoolinux ★★★★
()
Ответ на: комментарий от afanasiy

спасибо всем за ответы, решил что вообще не буду это делать, имхо нафиг оно нужно давать, обычно пользователю такую возможность, правда есть одна проблема, то из-за чего я вообще стал это делать, как прописать конфиг supervisor так что бы, то что он запускает создавало логи не из под рута, а из под определенного пользователя.

rdbn
() автор топика
Ответ на: комментарий от rdbn

supervisor-у ведь в конфиге можно указать, из-под какого пользователя запускать приложение? Если приложение умеет создавать логи только из-под того пользователя, под которым оно запущено, то это твой вариант.

devsdc ★★
()
Ответ на: комментарий от Pinkbyte

то же интересует подобная тема! только юзеру нужно не стартовать а перезагрузить процесс. внес изменения в sudoers, теперь все релодится без пароля, но sudo все равно вводить нужно. Подскажите, как избежать этого, что бы было просто service <название сервиса> reload

RN3QTB
()
Ответ на: комментарий от RN3QTB

alias service='sudo service' у пользователя пробовал?

Если у него будут права на действие в sudoers - выполнится без пароля. Если нет - запросит пароль и даже если он будет введен правильно - не выполнится

Pinkbyte ★★★★★
()
Ответ на: комментарий от RN3QTB

в алиасе пропиши полный путь к service как в sudoers

sdio ★★★★★
()
Ответ на: комментарий от RN3QTB

Эм, ну ты прописал алиас. А теперь после этого набирай service чо-ты-там-хотел.

Если заработает - добавишь в .bashrc пользователя

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от RN3QTB

На здоровье. Ты главное в .bashrc эту строчку прописать не забудь, а то алиас при следующем логине пользователя не восстановится.

Pinkbyte ★★★★★
()
Ответ на: комментарий от rdbn

вообще если кому еще интересно, то данная проблема решается через назначение в конфигах визора юзера, который будет отвечать за процессы, сам визор может быть запущен от кого угодно, но все же желательно его оставить из под рута.

rdbn
() автор топика
Ответ на: комментарий от Pinkbyte

Да, действительно, после релогина пропадает возможность перезагрузки. Добавил втрочку в .bashrc - не помогло... Если вбивать alias service='sudo service' руками - помогает.

RN3QTB
()
Ответ на: комментарий от RN3QTB

У тебя шелл bash? Покажи содержимое .bash_profile у пользователя - если там не грузится .bashrc - добавь эту строчку с alias туда

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Все заработало. В оболочке проблема была.

RN3QTB
()
Ответ на: комментарий от rdbn

Сам подумай: если юзер может запустить сервис, то он может его и остановить, причём никто не гарантирует, что от юзера будешь действовать именно ты. Не стоит забывать, что весь мир — решето, и в каждую дырку этого решета вагон-ресторан не задевая краёв проходит поперёк.

Ты можешь настроить правила для sudo, ты можешь выставить SUID, ты можешь даже поместить свою железку в воду, но потом не говори, что тебя не предупреждали.

funeralismatic ★★★
()
Ответ на: комментарий от rdbn

меня уже больше беспокоит вопрос, а надо ли это вообще делать

Не надо. Но если всё-таки надо то через sudo, при-чём только именно для нужных команд.

MrClon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.