Можно ли сделать два вида админов?

0

1

Я бы хотел дать возможность пользователям самостоятельно устанавливать приложения без админских прав. Устанавливать приложения пользователи будут туда, куда у них хватит прав (в первом приближении в свою домашнюю директорию, см. ниже).

Если пользователь будет устанавливать приложения под своим собственным аккаунтом, то такие приложения будут повышенно вирусоуязвимы (вирус будет работать под этим же аккаунтом и сможет изменять права доступа к файлам и код выполняемых файлов).

Для того, чтобы такого не происходило, во втором приближении, я хочу сделать пользователю дополнительный аккаунт, чтобы права на приложения были не такие как права у пользователя. Т.е. хочу два разных вида рутов. Один рут - совсем рут, а второй рут - не совсем рут и слегка пользователь. А третий - совсем пользователь.

Обозначим аккаунты буквами А - администратор, У - учитель, С - студент.

Можно ли настроить пользователю sudo таким образом, чтобы ему давались права на этот второй аккаунт, а не на аккаунт администратора?

Есть пять областей:

а) то, что установлено рутом для себя, и доступно руту (rw)

б) то, что установлено рутом для учителя (или учителем для себя через sudo), и доступно руту (rw) и учителю (r)

в) то, что наредактировано учителем для себя, и доступно руту (rw) и учителю (rw)

г) то, что установлено учителем для учеников (или учениками для себя через sudo), и доступно руту (rw), учителю (rw) и ученикам (r)

д) то, что ученики делают сами (rw)

Учитель не может читать файлы, установленные рутом лично руту (область «а»). И ученик не сможет читать файлы, установленные себе учителем (область «в»).

Итого, у учеников доступ к области «д» на запись, и к области «г» на чтение.

Именно поэтому вирусы, запущенные под учеником не смогут запортить у учителя всё, и у рута тем более. Разумеется. при условии, что вирусы не знают пароля учителя.

Нужно настроить sudo так, чтобы ученик мог ставить софт в область «г», но не мог ставить софт в область «б». К руту с учителем это, кстати, тоже относится.

Какой символ в таком случае должен использоваться в качестве подсказки bash вместо ‘#’ и ‘$’ ? Кажется, можно сделать ‘#’, ‘¤’ и ‘₽’ (первый - сидеть за решеткой, если что-то испортит, второй - обозначает универсальность, а третий - это локализованная версия доллара).

←	VirtualBox - sign the kernel modules?

Это у всех pipewire-pulse так течёт?

→

← 1 2 3 4 →

Ответ на: комментарий от CrX 02.02.23 10:16:35 MSK

Не хватит. Может у меня быть гражданская позиция? Хочу извести наркоманов на LOR.

Shushundr ★★★★
(02.02.23 10:17:20 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:10:35 MSK

можно ли настроить sudo

Разрешаю. Если Вас забанили в гугле и яндексе попробуйте набрать в терминале

man sudo

Права рута для этого не требуются.

AntonI ★★★★★
(02.02.23 10:18:02 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:13:07 MSK

Я не пишу техническу документацию,а спрашиваю,какой смысл создавать этого твоего отдельного пользователя,когда уже есть пользователь,делающий именно то,что ты хочешь,и называется он root?

Dog ★★★
(02.02.23 10:18:23 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:17:20 MSK

Там нет никакой наркомании, более того, даже к курению высказано негативное отношение. Такими действиями извести можно только себя (ну и немножко нервы модераторам, вынужденным читать идиотские натянутые жалобы).

CrX ★★★★★
(02.02.23 10:18:52 MSK)

Ответ на: комментарий от Dog 02.02.23 10:18:23 MSK

Между этими двумя рутами есть разница. Начиная с того, что это разные люди и поэтому им нужны разные пароли.

Shushundr ★★★★
(02.02.23 10:19:12 MSK) автор топика

Ответ на: комментарий от CrX 02.02.23 10:18:52 MSK

ну и немножко нервы модераторам, вынужденным читать идиотские натянутые жалобы

Ну и хорошо, возможно они станут менее толерантны к пропаганде наркотиков.

Shushundr ★★★★
(02.02.23 10:20:00 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:17:20 MSK

Мнэээ… публично обвиняя bugfixer в наркоманстве Вы совершаете деяние попадающее под статью УК РФ «клевета».

Если же Вы инсоказательно тык скыть, то с моей точки зрения Вы куда более упороты чем он.

AntonI ★★★★★
(02.02.23 10:20:53 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:20:00 MSK

Там нет пропаганды наркотиков. Ни в одном из объектов доноса.
Табак юридически к наркотическим веществам не относится.
Как минимум в последнем случае вообще пропаганда отказа от курения, а не наоборот.

CrX ★★★★★
(02.02.23 10:21:25 MSK)

Ответ на: комментарий от AntonI 02.02.23 10:20:53 MSK

Я не говорил, что он наркоман лично. Я утверждал что наркоманы существуют, и что bugfixer распространяет информацию о наркотиках.

Shushundr ★★★★
(02.02.23 10:21:53 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:07:09 MSK

Ну можешь написать GUI к этому.

Vsevolod-linuxoid ★★★★★
(02.02.23 10:22:40 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 02.02.23 10:22:40 MSK

Пока не могу. Не читал man на sudo и не понимаю, как он работает.

Shushundr ★★★★
(02.02.23 10:23:09 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:21:53 MSK

Пруф где bugfixer таким занимается в студию.

AntonI ★★★★★
(02.02.23 10:24:01 MSK)

Ответ на: комментарий от AntonI 02.02.23 10:24:01 MSK

Он мог не употреблять этот вредный мем вообще, не втягивая эту тему в культуру LOR.

Shushundr ★★★★
(02.02.23 10:25:00 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:23:09 MSK

А sudo тут при чем? Я про ACL писал. В этом сценарии все ПО ставится в хомяк пользователя 1, и ни одному пользователю sudo не нужен. Так что ОС остается нетронутой.

Vsevolod-linuxoid ★★★★★
(02.02.23 10:25:14 MSK)
Последнее исправление: Vsevolod-linuxoid 02.02.23 10:25:55 MSK (всего исправлений: 1)

Ответ на: комментарий от Vsevolod-linuxoid 02.02.23 10:25:14 MSK

Пользователю с меньшим количеством прав нужна какая-то утилита для получения возможностей пользователя с слегка большим количеством прав. Возможно не sudo.

Shushundr ★★★★
(02.02.23 10:26:18 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:19:12 MSK

Можешь просто отключить пользователю пароль на sudo apt или что там у вас.

Dog ★★★
(02.02.23 10:27:30 MSK)

Ответ на: комментарий от Dog 02.02.23 10:27:30 MSK

На такое предложение я уже отвечал выше по топику.

Shushundr ★★★★
(02.02.23 10:28:55 MSK) автор топика
Последнее исправление: Shushundr 02.02.23 10:29:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Shushundr 02.02.23 10:26:18 MSK

Нахера? Когда нужно поставить ПО, логинимся как 1 и ставим от имени 1. Когда нужно использовать, логинимся как 2 и используем от имени 2.

Vsevolod-linuxoid ★★★★★
(02.02.23 10:29:37 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:25:00 MSK

То есть пруфа нету? Тогда Вам придётся извиниться. Или Вам будут считать врунишкой, причём это навсегда. Ай-яй…

AntonI ★★★★★
(02.02.23 10:30:11 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 02.02.23 10:29:37 MSK

Тебя послушать, так и sudo не нужен. Ведь пользователь всегда может залогиниться сам, а когда надо - может залогиниться как рут.

Shushundr ★★★★
(02.02.23 10:30:16 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:30:16 MSK

Ну да, это рабочий сценарий.

Но если хочешь, можешь в sudo прописать одному пользователю право выполнять произвольные команды от имени другого.

Vsevolod-linuxoid ★★★★★
(02.02.23 10:30:52 MSK)
Последнее исправление: Vsevolod-linuxoid 02.02.23 10:34:10 MSK (всего исправлений: 2)

Ты под чем?

ddidwyll ★★★★
(02.02.23 10:33:01 MSK)

Ответ на: комментарий от ddidwyll 02.02.23 10:33:01 MSK

Под защитой гаранта конституции. А ты налоги не платишь?

Shushundr ★★★★
(02.02.23 10:34:38 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:34:38 MSK

Так и думал. Не переживай, скоро отпустит.

ddidwyll ★★★★
(02.02.23 10:36:13 MSK)

Ответ на: комментарий от ddidwyll 02.02.23 10:36:13 MSK

ТСа не отпустит, это врождённое. Как и его брехня.

AntonI ★★★★★
(02.02.23 10:41:37 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:17:20 MSK

Хочу извести наркоманов на LOR.

Для этого в профиле есть кнопка блокировки аккаунта. Будь добр, нажми ее.

~~DrBrown~~ ★
(02.02.23 10:43:36 MSK)

Ответ на: комментарий от DrBrown 02.02.23 10:43:36 MSK

Игнорирование не сделает мир лучше. Только активное гражданское общество.

Shushundr ★★★★
(02.02.23 10:44:52 MSK) автор топика

Ответ на: комментарий от DrBrown 02.02.23 10:43:36 MSK

Для этого в профиле есть кнопка блокировки аккаунта. Будь добр, нажми ее.

А кнопки «выложить пароль» нет. Опять злые линаксоиды GUI не написали.

annulen ★★★★★
(02.02.23 10:45:40 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:44:52 MSK

Так речь не об игноре, речь об удалении. Кнопка так и называется «удалить» (красная).

Выносит по крайней мере одного наркомана. Проявите свою активную гражданскую позицию!

AntonI ★★★★★
(02.02.23 10:46:13 MSK)

Ответ на: комментарий от AntonI 02.02.23 10:46:13 MSK

УК РФ Статья 110.1

Shushundr ★★★★
(02.02.23 10:47:09 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:30:16 MSK

Тебя послушать, так и sudo не нужен. Ведь пользователь всегда может залогиниться сам, а когда надо - может залогиниться как рут.

Ну да, для этого и su хватит. sudo нужен только для удобства и дополнительных плюшек вроде ограничения допустимых команд или выполнения определенных команд без пароля.

annulen ★★★★★
(02.02.23 10:47:41 MSK)

Ответ на: комментарий от annulen 02.02.23 10:47:41 MSK

только для удобства

удобство - нужно.

Shushundr ★★★★
(02.02.23 10:48:14 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:47:09 MSK

УК РФ Статья 245. Хватит натягивать сову на глобус.

~~DrBrown~~ ★
(02.02.23 10:51:24 MSK)

Ответ на: комментарий от DrBrown 02.02.23 10:51:24 MSK

Я думаю не стоит ТСа тревожить, вдруг это болезнь такая.

ddidwyll ★★★★
(02.02.23 11:15:09 MSK)

Ответ на: комментарий от ddidwyll 02.02.23 11:15:09 MSK

То есть ты признаешь, что твои действия - это [неудачная] попытка организовать коллективную травлю?

Shushundr ★★★★
(02.02.23 11:17:41 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 11:17:41 MSK

Да нет, какая травля, меня заинтриговала твоя реакция на «курить», стало интересно что это, но после «гаранта конституции» интерес пропал.

ddidwyll ★★★★
(02.02.23 11:22:51 MSK)

Поставь винду, там UAC есть.

Psilocybe ★★★★
(02.02.23 11:28:58 MSK)
Последнее исправление: Psilocybe 02.02.23 11:29:31 MSK (всего исправлений: 1)

Ответ на: комментарий от Psilocybe 02.02.23 11:28:58 MSK

Умный, да? А есть ли UAC в ReactOS ?

Shushundr ★★★★
(02.02.23 11:33:30 MSK) автор топика

Когда рассуждают о безопасности, указывают вектор угрозы, потом решение, потом чем оно помогло.

Абсолютно непонятно, от чего ты «защитился». Можно додуматься разное, но ты вряд ли имел это в виду.

Если второй юзер может ставить софт только себе в хомяк, то в чем отличие от первого? Он тоже может.

Если второй пользователь может ставить в систему, то ты уже сам написал, что такая дырка, что для злоумышленник это рут.

От чего ты защищался, что ты хотел? Тупо больше пользователей для большей изоляции сомнительных приложений? Смонтировать первому хомяк с noexec просто чтобы было? Скор набить? Одним лишь небесам известно.

t184256 ★★★★★
(02.02.23 11:35:58 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 02.02.23 10:04:21 MSK

но не может что-либо исполнять из него

noexec есть, а nointerpret нет

t184256 ★★★★★
(02.02.23 11:37:30 MSK)

Ответ на: комментарий от Shushundr 02.02.23 09:08:50 MSK

Он просто повторил твой бред, решаемой этим бредом проблемы никто так и не знает. Кажется, ты тоже.

t184256 ★★★★★
(02.02.23 11:39:22 MSK)
Последнее исправление: t184256 02.02.23 11:39:36 MSK (всего исправлений: 1)

Ответ на: комментарий от Shushundr 02.02.23 10:10:35 MSK

можно ли настроить sudo таким образом, чтобы обычный пользователь получал доступ к возможностям пользователя-инсталлятора. И делал в нём всё что хочет в рамках дозволенного пользователю-инсталлятору (но не руту всей системы).

Можно. Так как второй пользователь может все, что и рут, а первый теперь может все, что и второй, то смысл во втором отпадает и первый пользователь просто может использовать sudo для установки пакетов от рута напрямую. Смотри как удобно.

t184256 ★★★★★
(02.02.23 11:44:18 MSK)

Ответ на: комментарий от t184256 02.02.23 11:39:22 MSK

никто так и не знает. Кажется, ты тоже.

Я этого и не скрываю. Прямо спросил, почему root не вынесут нафиг. И тут началось - там ещё другие пользователи с разными правами… Но ведь ничего не мешает и другому человеку помогать следующим. Пример - системный админ на всю школу, учитель на учеников класса, ученики сами по себе, но их много. Иерархичность у людей - это нормально. Но Linux не поддерживает, он плоский.

Shushundr ★★★★
(02.02.23 11:46:20 MSK) автор топика

Ответ на: комментарий от Shushundr 02.02.23 10:15:48 MSK

Ты настолько накурен, что считаешь призыв не курить, чтобы не быть как ты, пропагандой курения? Мда.

t184256 ★★★★★
(02.02.23 11:47:59 MSK)

Ответ на: комментарий от t184256 02.02.23 11:44:18 MSK

второй пользователь может все, что и рут,

Нет. Рут, то есть первый пользователь неограничен. Второй пользователь ограничен (рут его ограничил). И ставит от туда, куда может. А третий пользователь пользуется тем, что второй пользователь поставил для него.

Ты совершаешь ошибку, думая что второй пользователь ставит приложения руту. Это не так.

Shushundr ★★★★
(02.02.23 11:48:15 MSK) автор топика
Последнее исправление: Shushundr 02.02.23 11:50:31 MSK (всего исправлений: 1)

Ответ на: комментарий от Shushundr 02.02.23 11:46:20 MSK

Иерархичность у людей - это нормально.

Отношения к теме этот тезис не имеет, потому что у тебя один человек и три учётных записи.

Я этого и не скрываю. Прямо спросил, почему root не вынесут нафиг. И тут началось - там ещё другие пользователи с разными правами…

Это в какой теме? Потому что в этой ты предложил не увеличивающий безопасности геморрой, и каких-то других пользователей с разными правами, затем сведенными к эквивалентным, а выносить начали тебя.

t184256 ★★★★★
(02.02.23 11:52:40 MSK)

Ответ на: комментарий от Shushundr 02.02.23 11:48:15 MSK

Я правильно понимаю, что в такой модели третий пользователь может запускать установку с правами второго, а второй — подсунуть любой код третьему? Тогда защищены они друг от друга ровно никак, можно сливать их вместе.

t184256 ★★★★★
(02.02.23 11:57:16 MSK)

Ответ на: комментарий от t184256 02.02.23 11:57:16 MSK

третий пользователь может запускать установку с правами второго, а второй — подсунуть любой код третьему?

Ты понимаешь неправильно. Я привёл выше пример с админом, учителем и учениками.

Чтобы третий что-то там запустил, он должен знать пароль второго. Но он не знает. Учитель подойдёт к ученику и выполнит какие ему надо команды администрирования.

защищены они друг от друга ровно никак

Второй от третьего защищён паролем. Поэтому третий не сможет подсунуть код второму. Так же как второй не сможет подсунуть код руту.

у тебя один человек и три учётных записи.

Вырожденый случай. Для понимания надо сначала понять общий.

Shushundr ★★★★
(02.02.23 12:07:52 MSK) автор топика
Последнее исправление: Shushundr 02.02.23 12:10:29 MSK (всего исправлений: 3)

Ответ на: комментарий от Shushundr 02.02.23 12:07:52 MSK

О, новые вводные, нагло противоречащие

я хочу сделать пользователю дополнительный аккаунт

из ОП.

Итак, у нас не просто три учетки, а три разных человека. Естественно, при этом должно быть три учетки, безо всякого дополнительно.

Чтобы третий что-то там запустил, он должен знать пароль второго. Но он не знает. Учитель подойдёт к ученику и выполнит какие ему надо команды администрирования.

Подойдёт физически и напечатает при нем что-то, что поставит ученику произвольный софт в хомяк? А ученик будет следить за каждой командой и предварительно проведёт полный аудит устанавливаемого?

Отличная тема, эта твоя новая задача вполне понятна и решается так:

Готово, ничего делать не надо

Смотри не налажай.

t184256 ★★★★★
(02.02.23 12:15:26 MSK)

Ответ на: комментарий от Shushundr 02.02.23 10:47:09 MSK

Хочу извести наркоманов на LOR

Так забаньтесь ужо!

УК РФ Статья 110.1

Если надумаете - готов встретиться в любом суде РФ или за её пределами. Только боюсь - кишка тонка.

ПыСы. А вы таки «шедевр». Welcome to my ban list.

bugfixer ★★★★★
(02.02.23 12:16:23 MSK)

← 1 2 3 4 →

←	VirtualBox - sign the kernel modules?

Desktop

Это у всех pipewire-pulse так течёт?

→

Похожие темы