Права пользователя через sudoers на директорию в home

0

1

Пробую настроить проверку AIDE с одного сервера на клиентах через прилагающийся в документации скрипт sshaide.sh.

Делаю по мануалу:https://kezhong.wordpress.com/2016/11/23/building-a-centralized-aide-server-o... только на Centos 7.

По мануалу создаю на удаленном клиенте пользователя, в /etc/sudoers прописываю ему права:

aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 644 /home/aideuser/*/aide.newdb

При выполнении скрипта (скрипт большой, команд много), появляется ошибка:

scp: /home/aideuser/furfuramid.12510/aide.newdb: Permission denied

Если на удаленном компе поменять запись в /etc/sudoers для пользователя на:

aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 774 /home/aideuser/*/aide.newdb

При запуске скрипта появляется запрос пароля и после него ошибка с указанием на права:

[sudo] пароль для aideuser:

Sorry, user aideuser is not allowed to execute '/bin/chmod 644 /home/aideuser/indispensableness.12573/aide.newdb' as root on name_client_comp

Подскажите, где ошибка? В правах на директорию, в правах sudoers?

Ссылка

←	Windows не видит samba в Сетевом окружении

Интересная находка.

→

aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 644 /home/aideuser/*/aide.newdb

Надеюсь, что всё это Вы добавили в /etc/sudoers не в таком виде?

not allowed to execute '/bin/chmod 644 /home/aideuser/indispensableness.12573/aide.newdb'

Очевидно.

Во-первых, используйте visudo. Во-вторых, формат sudoers следующий:

username hostname = (runas) [flags] cmd [, cmd] [, cmd]

~~telikan~~ ★
(15.12.17 01:47:30 MSK)

Ответ на: комментарий от telikan 15.12.17 01:47:30 MSK

visudo (от рута), а потом добавьте строку «aideuser ALL=(ALL) NOPASSWD:/home/aideuser/indispensableness.12573/aide.newdb».

~~telikan~~ ★
(15.12.17 01:54:18 MSK)

Подскажите, где ошибка?

Ошибка в том, что ты не понимаешь что делаешь.

Deleted
(15.12.17 01:54:53 MSK)

Ссылка

Ответ на: комментарий от telikan 15.12.17 01:54:18 MSK

Спасибо за ответ!

Файл правила не через nano /etc/sudoers, знаю, что правильно через visudo, сейчас поправлю через него .

Строку [code[aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 774 /home/aideuser/*/aide.newdb записала именно в таком виде, потому что директория indispensableness.12573 - это рандомно генеримая службой, она при каждом запуске скрипта разная...

Указала в visudo так:

aideuser ALL=(ALL) NOPASSWD: /home/aideuser

Перезагрузила клиент, на котором исправила visudo.

При выполнении скрипта опять запрошен пароль пользователя (хотя сертификаты есть), после правильного пароля ошибка:

scp: /home/aideuser/ignoble.13000/aide.newdb: No such file or directory

Как указать любое имя директории, разве не через *?

manik207 ★
(15.12.17 11:13:02 MSK) автор топика

Ответ на: Спасибо за ответ! от manik207 15.12.17 11:13:02 MSK

А если в visudo прописать

aideuser ALL=(ALL) NOPASSWD:/home/aideuser/*/aide.newdb

то выполняемый скрипт отзывается (после введения пароля) этим:

Sorry, user aideuser is not allowed to execute '/bin/chmod 644 /home/aideuser/*/aide.newdb' as root on my_client_comp

P.s. есть вероятность, что я сломала visudo?

manik207 ★
(15.12.17 11:15:45 MSK) автор топика

Ответ на: комментарий от manik207 15.12.17 11:15:45 MSK

любое имя директории

То есть? У вас имя директории постоянно меняется?

/home/aideuser/*/aide.newdb
'/*' — здесь указывает на внутреннее содержимое директории aideuser, т.е. на всё, что там расположено.

Почему после этого вы дописываете /aide.newdb? /home/aideuser/* — полный путь.

есть вероятность, что я сломала visudo?

Сомневаюсь в том, что Вы его сломали. Теоретически, такое возможно.

~~telikan~~ ★
(15.12.17 21:35:32 MSK)

Ответ на: комментарий от telikan 15.12.17 21:35:32 MSK

Спасибо за ответ!

Да, имя директории постоянно меняется, там в скрипте так и прописано, рандомное слово и через точку несколько цифр (сегодня разбирала скрипт, так сделано для безопасности)

Почему после этого вы дописываете /aide.newdb? /home/aideuser/* — полный путь.

При указании пути в visudo /home/aideuser/* - скрипт выдает запрос пароля и ошибку:

 scp: /home/aideuser/interglobular.1370/aide.newdb: No such file or directory

А если права указываю в visudo, отличные от 644, то тоже требуется пароль, и сообщение об ошибке вполне конкретно говорит, где я не права:

Sorry, user aideuser is not allowed to execute '/bin/chmod 644 /home/aideuser/indispensableness.12573/aide.newdb' as root on name_client_comp

manik207 ★
(15.12.17 22:11:12 MSK) автор топика

Ответ на: Спасибо за ответ! от manik207 15.12.17 22:11:12 MSK

При указании пути в visudo /home/aideuser/* - скрипт выдает запрос пароля и ошибку

Попробуйте

aideuser ALL=(ALL) NOPASSWD:/home/aideuser

aideuser is not allowed to execute '/bin/chmod 644'

А Вы указывали /bin/chmod 644 на запуск? Зачем? В visudo этого точно нет?

~~telikan~~ ★
(15.12.17 22:20:42 MSK)

Ответ на: комментарий от telikan 15.12.17 22:20:42 MSK

Сейчас в visudo указала так (без * и chmod):

aideuser ALL=(ALL) NOPASSWD:/home/aideuser/

Скрипт отреагировал запросом пароля и сообщением:

scp: /home/aideuser/aeolotropism.1517/aide.newdb: No such file or directory

В первом сообщении темы я указала, что именно так в visudo и указываю, как записано:

aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 644 /home/aideuser/*/aide.newdb

При такой записи нет запроса пароля, но Permission denied...

manik207 ★
(15.12.17 22:44:09 MSK) автор топика

Ответ на: комментарий от manik207 15.12.17 22:44:09 MSK

aideuser ALL=(ALL) NOPASSWD:/home/aideuser/

Слеш в конце не нужен.

Верните обратно /home/aideuser/*

/home/aideuser/aeolotropism.1517/aide.newdb: No such file or directory

Скрипт не смог найти файла по этому пути. Он там есть? Права на него выставлены верно?

aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 644 /home/aideuser/*/aide.newdb

Ну, так Вы не говорили, что у Вас постоянно меняется название. Тогда.. верно. /bin/chmod зачем обычному пользователю? У вас скрипт пытается работать с правами? Зачем?

При такой записи нет запроса пароля, но Permission denied

Проблема с правами доступа.

~~telikan~~ ★
(15.12.17 22:56:28 MSK)

Ответ на: комментарий от telikan 15.12.17 22:56:28 MSK

Эм... Да, проблема прав доступа. Так и название темы звучит.

Скрипт создает базу данных, и ему нужно скопировать в создаваемую им директорию с рандомным названием файл с названием aide.newdb. При выполнении команды scp, отображается сообщение о проблеме с правами доступа. Для решения этой проблемы я и задала вопрос: как пользователю прописать права? Директория с рандомным именем, обозначается через *...

manik207 ★
(16.12.17 00:23:23 MSK) автор топика

Ссылка

Ответ на: Спасибо за ответ! от manik207 15.12.17 11:13:02 MSK

В sudoers указывают КОМАНДЫ.

Т.е.

aideuser ALL=(ALL) NOPASSWD: /home/aideuser/*/aide, /bin/chmod 644 /home/aideuser/*/aide.newdb

Позволяет пользователю aideuser выполнить команду sudo /home/aideuser/*/aide и sudo /bin/chmod 644 /home/aideuser/*/aide.newdb без пароля. Эти команды вызываются из твоего скрипта.

Deleted
(16.12.17 01:19:34 MSK)

Ответ на: комментарий от Deleted 16.12.17 01:19:34 MSK

В sudoers указывают КОМАНДЫ.

Спасибо! А команды, которые я указываю в sudoers - правильные? По синтаксису, по логике...

manik207 ★
(16.12.17 12:05:14 MSK) автор топика

Ответ на: комментарий от manik207 16.12.17 12:05:14 MSK

Вроде правильные. Ты можешь залогиниться под этим пользователем и проверить.

Я бы на твоем месте добавил в скрипте, перед вызовом scp, read -p ololo1, и когда скрипт дойдет до этого момента, проверил бы права на файл, и на дерикторию.

Deleted
(16.12.17 13:15:32 MSK)