Code: Alles auswählen
/etc/sudoers.d/oliver
oliver ALL = (surfer) NOPASSWD: ALL
oliver ALL = NOPASSWD: /bin/mount, /bin/umount
Code: Alles auswählen
/etc/sudoers.d/oliver
oliver ALL = (surfer) NOPASSWD: ALL
oliver ALL = NOPASSWD: /bin/mount, /bin/umount
a) Wie. Glaube nicht, dass es das irgend wo auf dem system gibt. Aber trotzdem nehmen wir das mal an:
Ich auch nicht. Aber es läuft eben genau darauf raus:Bei korrekter Konfiguration von /etc/sudoers sehe ich nun überhaupt keine Probleme bei Ausführung von
natürlich irgendwie Quatsch aber was solls
Um beim Beispiel von apt-get zu bleiben. Es ist keineswegs ein Fehler in apt-get, dass man da Befehle als root ausführen kann.Dieses Programm ist sagen wir mal recht fehlerfrei.
OK. Gewonnen. Da hast du tatsächlich einen Anwendungsfall. Um Rechte einzuschränken macht es wirklich Sinn. Habe ich in komplizierterer Form am laufen gehabt für den Chrome. Das gefällt mir eigentlich sogar richtig gut. Ich denke da nochmal drüber nach aber ich glaube ich mache das auch so. Coole Idee. Aber nur wenn du wayland verwendest. Sonst kannst du über den X11 Über mousevents die Bilschirmtastatur auf machen. und dann das Programm ausführen.So kann ich dann über kdesudo den Firefox starten, der nur auf das Home von surfer Zugriff hat. So sollten Angriffe über den Browser auf mein User-Home nicht möglich sein, da nur Daten aus dem Surfer-Home gelesen werden können. User oliver ist nicht in Gruppe sudo und kann somit nichts weiteres machen.
Die Datei befand sich in /home/niemand und gehörte Root. Der User ›niemand‹ darf diese Datei nicht direkt bearbeiten, aber nunmal löschen, neu erstellen, ausführbar machen und im Anschluss mit und ohne sudo ausführen, wenn /home/niemand/test.sh in der sudoers steht. Mag sein, dass man’s auch noch so konfigurieren kann, dass die Datei Root gehören muss – besser ist’s aber, so Dateien nicht in userkontrollierten Verzeichnissen unterzubringen.wanne hat geschrieben:31.07.2019 13:35:58Wie. Glaube nicht, dass es das irgend wo auf dem system gibt.
Wie gesagt: Du musst halt auf ein Update warten, bei dem sich eine Datei unter /etc ändert. Dann bekommst du die Frage ob du die bearbeiten willst. Dann bist du im vim. Das ist in Debian sogar default. (Du musst also gar nicht $EDITOR setzen.) Und da kannst du dann halt :! machen.niemand hat geschrieben:31.07.2019 13:42:27Das Szenario bei apt-get kann ich nicht nachstellen. Bitte da weiterhin ein reproduzierbares Beispiel.
Auchso. Ja. So ist klar. Ich dachte du beziehst dich auf meine config wo nur root sudo ausführen kann.Die Datei befand sich in /home/niemand und gehörte Root. Der User ›niemand‹ darf diese Datei nicht direkt bearbeiten, aber nunmal löschen, neu erstellen, ausführbar machen und im Anschluss mit und ohne sudo ausführen, wenn /home/niemand/test.sh in der sudoers steht.
In jedem Fall. Das gilt auch für die Anwendung ohne sudo. Wenn dein User nicht alle Überordner kontrolliert solltest du da nichts executable haben.besser ist’s aber, so Dateien nicht in userkontrollierten Verzeichnissen unterzubringen.
Ja, ich, bei mir ist alles, von den Mounts an und bis in die letzte Instanz user-individuell geregelt... jeder User hat nach der Anmeldung ein eigenes Debian-Umfeld, hinsichtlich Berechtigungten individuell ausgerichtet auf seinen Bedarf. Und alles vollständig über das Polkit mit expliziten Berechtigungen... sudo gibts hier nicht, und auch nicht die Möglichkeit, dass sich User höhere Rechte aneignen können.uname hat geschrieben:31.07.2019 13:53:56Ich hätte noch eine Frage. Nutzt jemand von euch Umgebungen mit mehreren Benutzern, wo einige dieser Benutzer nur eingeschränkte root-Rechte z. B. zum Starten und Stoppen von Services ausführen dürfen? Wie wird das heute überhaupt gemacht? Ist auf Serversystemen mit vielen Benutzern, nur Shell-Zugang und wenigen als root auszuführenden Befehlen tatsächlich Polkit bzw. Policykit die heutige Alternative zu sudo?
Gut, wäre dann wieder ein Konfigurationsproblem (Admin lässt einen User Programme als Root ausführen, bei denen unter Umständen ’ne Shell gestartet werden kann – hatte ich damals™ nicht dran gedacht, und wäre da auch unwichtig gewesen: der User war nur darauf festgenagelt, damit er nix aus Versehen kaputtmacht – der hätte von sich aus keine Shell aus’m Editor raus gestartet).wanne hat geschrieben:31.07.2019 13:50:43Du musst halt auf ein Update warten, bei dem sich eine Datei unter /etc ändert. Dann bekommst du die Frage ob du die bearbeiten willst. Dann bist du im vim. Das ist in Debian sogar default. (Du musst also gar nicht $EDITOR setzen.) Und da kannst du dann halt :! machen.
Fedora verwendet doch auch sudo.wanne hat geschrieben:31.07.2019 13:07:16sudo ist nicht (sicher) administierbar. Deswegen verwendet man es auch nirgends mehr abseits von der Ubuntu-Variante wo by desighn alles geht.
Diese Aussage mag für dich gelten, ich lasse diese Aussage nicht gelten.
Wenn du keine Anwendungsfälle für sudo hast, dann mag dies für dich gelten...wanne hat geschrieben:31.07.2019 13:07:16Wie gesagt: Null sichere Anwendungsfälle. Das nenne ich broken by desighn.