Добавление прав на чтение

1

1

Всем доброго времени суток.

Подскажите, есть ли возможность добавить определенному пользователю права на чтение каталога, например, /etc?

Цель этого - запаковать каталог в архив с целью бекапа. Из под root всё запаковывает и все счастливы. А вот из под пользователя не включенного в группу root некоторые каталоги нет возможности прочесть и поэтому бекап получается не полным.

Ссылка

←	Python для админа

Выявить кто проявляет активность

→

Если заархивируешь, значит перенесёшь и прочитаешь. А тебе незя...

anonymous
(10.10.17 11:42:45 MSK)

Ссылка

sudo

stave ★★★★★
(10.10.17 11:45:46 MSK)

Ответ на: комментарий от stave 10.10.17 11:45:46 MSK

Это будет делать скрипт в cron. Не обойтись без sudo? Нельзя добавить права на чтение?

hanharr ★
(10.10.17 11:46:30 MSK) автор топика

Ответ на: комментарий от hanharr 10.10.17 11:46:30 MSK

Нельзя добавить права на чтение?

Можно группу создать, куда будет входить root и пользователь, под которым идет бэкап. И дать ей право на чтение.

А вообще-то, начинать надо с рассказа о том, как именно планируется делать бэкап - для многих систем есть штатные решения данного вопроса.

Serge10 ★★★★★
(10.10.17 12:01:19 MSK)

Ответ на: комментарий от Serge10 10.10.17 12:01:19 MSK

Кусок скрипта:

create_dir_dump() {
######################################
# Функция должна получать параметр   #
# $1 каталог исходный                #
# $2 имя бэкапа                      #
# $3 возраст бэкапа                  #
# $4 количество бэкапов для хранения #
######################################
cd $1
/bin/tar -c -f - ./* | /bin/gzip -c9 > ${path_backup}${pref_backup}_backup_dir_$2_${date_current}.gz
delete_old_backups ${pref_backup}_backup_dir_$2 $3 $4
}

create_backups() {

/bin/echo "Making new backups" >> /var/log/backup.log

create_dir_dump /usr/local/script script 4 4
create_dir_dump /etc etc 4 4
}

hanharr ★
(10.10.17 12:04:07 MSK) автор топика

Ответ на: комментарий от hanharr 10.10.17 12:04:07 MSK

Т. е. Вы запускаете скрипт на той же машине, которую бэкапите.

И что мешает запускать его от root?

Serge10 ★★★★★
(10.10.17 12:08:52 MSK)

Ответ на: комментарий от Serge10 10.10.17 12:08:52 MSK

Не моя прихоть. Был аудит. Аудит убедил начальство, что нельзя ничего делать из под пользователей с полными права.

hanharr ★
(10.10.17 12:10:21 MSK) автор топика

Ответ на: комментарий от hanharr 10.10.17 11:46:30 MSK

Sudo без su

Не обойтись без sudo?

В sudoers можно прописывать довольно сложные правила, например разрешить запускать одну конкретную программу от одного конкретного пользователя.

Кроме того есть такая вещь как POSIX ACL, файлам и директориям (которые, как мы помним, тоже файлы) можно давать права гораздо более сложным образом чем rwx для user-group-other.

Camel ★★★★★
(10.10.17 12:15:49 MSK)

Ответ на: комментарий от hanharr 10.10.17 12:10:21 MSK

в sudoers можно разрешить запуск скрипта без пароля от рута. можно еще selinux включить и сделать модуль. пусть аудит обос...ся.

anonymous
(10.10.17 12:20:21 MSK)

Ссылка

Ответ на: Sudo без su от Camel 10.10.17 12:15:49 MSK

Возможно глупый вопрос, но имеет значение в какую часть файла sudoers добавлять правило?

hanharr ★
(10.10.17 16:41:59 MSK) автор топика

Ссылка

Чем плох вариант с capabilities ?

Сдалать копию tar доступную для запуска только бекаперу

На эту копию tar поставить capabilities CAP_DAC_OVERRIDE

~$ cat /etc/shadow
cat: /etc/shadow: Permission denied
~$ getcap /bin/tar-x
/bin/tar-x = cap_dac_override+ep
~$ /bin/tar-x -cf xxx.tar /etc/shadow
/bin/tar-x: Removing leading `/' from member names
~$ tar -tvf xxx.tar 
-rw-r----- root/shadow     911 2016-03-26 12:30 etc/shadow

vel ★★★★★
(10.10.17 23:41:25 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Python для админа

Admin

Выявить кто проявляет активность

→

Sudo без su

Похожие темы