LINUX.ORG.RU
ФорумAdmin

sudo на бинарник


0

0

необходимо дать пользователям рутовые права на запуск бинарника с определенным именем который может лежать где угодно. Как правило внутри пользовательского каталога. Как правильно написать правило для sudo? Почему-то без лидирующего слеша в имени команды не работает.


мне тут пришло в голову, что любой пользователь может создать свой бинарник и он будет по этим правилом с рутовыми правами, ола-ла - это же дырище в безопасности!

hizel ★★★★★
()

> Как правильно написать правило для sudo?

Нужно просто поставить suid бит на бинарник и всё будет хорошо.

Alan_Steel ★★
()
Ответ на: комментарий от hizel

Согласен. Но по другому сейчас никак... речь идет о серверах в лабе, сугубо для внутреннего пользования. Сейчас настроено так что пользователь делает sudo tcsh и получает рутовый шелл, что дает ему возможность конфигурить сервер как ему хочется, что порядком надоело. Сейчас думаю, может разрешить все запретив шеллы и всякие ifconfig, service и т.д.?

bobych
() автор топика

>дать пользователям рутовые права на запуск бинарника с определенным именем который может лежать где угодно. Как правило внутри пользовательского каталога. Как правильно написать правило для sudo?
man sudoers точно читали?

Почему-то без лидирующего слеша в имени команды не работает.

Потому, что не в $PATH. //К.О.

anon_666
()
Ответ на: комментарий от bobych

«разрешить всё, кроме» работать не будет, потому что пользователь сможет переименовать бинарник, чтобы не попасть под исключения, указанные после «кроме». Это в рамках sudo.

Я так думаю, тебе нужно что-то вроде selinux.

gorilych ★★
()
Ответ на: комментарий от bobych

man sudoers

A commandname is a fully qualified filename which may include shell-style wildcards (see the Wildcards section below).
...
Note that a forward slash ('/') will not be matched by wildcards used in the pathname.

gorilych ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.