Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-05-31 17:12:37
trzcionek - 
Użytkownik
- trzcionek
- Użytkownik
- Zarejestrowany: 2005-08-12
Prawa root?
Jakie są sposoby na przekazanie uprawnień root'a zwykłemu użytkownikowi poza sudo, op i podaniu hasła root'a ;).
Offline
#2 2009-05-31 17:18:01
owca - Członek DUG
Re: Prawa root?
Możesz stworzyć odpowiednie grupy użytkowników, które będą miały ponadawane prawa dostępu do określonych plików i programów. Potem dodajesz użytkownika do określonych grup i tyle. Niestety, ale nie zawsze się to sprawdza, bo niektóre programy sprawdzają identyfikator użytkownika i jeśli nie jest równy 0, to nie uda Ci się ich włączyć (a przynajmniej ja nie znam takiej metody).
Offline
#3 2009-05-31 17:20:45
Minio - Użyszkodnik
Re: Prawa root?
Nie wiem co rozumiesz przez „op”.
Sudo pozwala na uruchamianie aplikacji bez podawania hasła.
Kiedyś było coś takiego jak bit SUID, ale generalnie jest niebezpieczne, odradzane, złe, grzeszne i niezdrowe.
Spinnen Essen: [url=http://fluxboxpl.org/portal/]FluxboxPL[/url] [url=http://przepis-na-lo.pl/]Przepis na LibreOffice[/url]
Offline
#4 2009-05-31 17:29:08
trzcionek - Użytkownik
- trzcionek
- Użytkownik
- Zarejestrowany: 2005-08-12
Re: Prawa root?
[quote=Minio]Nie wiem co rozumiesz przez „op”.[/quote]
To alternatywa dla sudo [url]http://swapoff.org/wiki/op[/url]
[quote=Minio]Sudo pozwala na uruchamianie aplikacji bez podawania hasła.[/quote]
Owszem ale jest to jakiś sposób na wykonanie akcji, na które zezwolił root danemu użytkownikowi.
Powód dlaczego was o to pytam to lista pytań do opracowania na studia i jednym z pytań jest:
Wymień możliwość przekazania użytkownikowi nie-root uprawnień użytkownika root.
Oby autorowi pytania nie chodziło o podmianę uid i gid użytkownikowi na 0 0 w /etc/passwd.
Offline
#5 2009-05-31 17:35:57
Minio - Użyszkodnik
Re: Prawa root?
[quote=trzcionek]Powód dlaczego was o to pytam to lista pytań do opracowania na studia i jednym z pytań jest:
Wymień możliwość przekazania użytkownikowi nie-root uprawnień użytkownika root.[/quote]
Nie wiem na ile zaawansowane zagadnienia przerabiacie, ale jeśli to do szkoły, to myślę że najbardziej standardowe operacje wystarczą. Czyli:
1. sudo (+op o którym wspominasz; być może istnieją jeszcze inne podobne aplikacje)
2. SUID
3. Wyekspoitowane dziury w kernelu ;) .
Spinnen Essen: [url=http://fluxboxpl.org/portal/]FluxboxPL[/url] [url=http://przepis-na-lo.pl/]Przepis na LibreOffice[/url]
Offline
#6 2009-05-31 17:53:07
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Prawa root?
[quote=Minio]być może istnieją jeszcze inne podobne aplikacje[/quote]
[tt]calife[/tt] i [tt]super[/tt]
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
#7 2009-05-31 17:55:25
trzcionek - Użytkownik
- trzcionek
- Użytkownik
- Zarejestrowany: 2005-08-12
Re: Prawa root?
To może jeszcze jedno pytanie.
Jak założyć konto użytkownika z ograniczonym zestawem narzędzi i programów do wykorzystania?
Offline
#8 2009-05-31 18:00:34
winnetou - złodziej wirków ]:->
Re: Prawa root?
AFAIR: przydzielenie użytkownika do odpowiedniej grupy a potem w /etc/sudoers odpowiednie wpisy NOEXEC dla zadanej grupy. Chociaż być może jest prostszy sposób
LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]
Offline
#9 2009-05-31 18:49:54
Minio - Użyszkodnik
Re: Prawa root?
Zależy co rozumiesz przez „ograniczony zestaw narzędzi i programów”. W sensie ograniczeniem jakiego zbioru ma być.
Jeżeli chcesz żeby user miał dostęp do części narzędzi do których normalnie dostęp ma tylko root, to sudo i podobne.
Jeżeli chcesz żeby user miał dostęp do części narzędzi do których normalnie ma dostęp (/usr/ i /bin/), wtedy chyba musisz go logować do zchrootowanego środowiska. Ewentualnie można odebrać wszystkiemu co istnieje prawo do wykonywania przez wszystkich, a następnie każdej binarce zmienić grupę na jej nazwę (czyli /usr/bin/evince znajdzie się w grupie [tt]evince[/tt] i tak dalej). Wreszcie użytkownika dodać do tych grup, do jakich programów ma mieć dostęp.
Teoretycznie powinno działać, ale roboty z tym od cholery. Oczywiście można tworzyć szersze grupy (np. „graficzne”, „muzyka” etc.), ale problem się pojawi gdy jeden użytkownik ma mieć dostęp do jednego i tylko jednego programu z danej grupy (np. tuxpainta ale już nie gimp-a, podczas gdy zarówno gimp jak i tuxpaint są w grupie „graficzne”).
Spinnen Essen: [url=http://fluxboxpl.org/portal/]FluxboxPL[/url] [url=http://przepis-na-lo.pl/]Przepis na LibreOffice[/url]
Offline
#10 2009-06-01 09:42:30
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Prawa root?
Witam
Kod:
sudo
- wykonuje operacje z uprawnieniami roota po podaniu hasła [b]użyszkodnika[/b].
Kod:
su
- powoduje płynne przejście na konto root po podaniu hasła [b]roota[/b]
więcej
Kod:
man sudo
Kod:
man su
Są jeszcze inne sposoby "bezhasłowe" np. fingerprint lub pam-usb, ale jeśli wchodzenie na konto [b]root [/b]po podaniu hasła [b]roota[/b] - to raczej [b]su[/b].
Pozdrawiam
Ostatnio edytowany przez Jacekalex (2009-06-01 09:43:11)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00013 | SET CHARSET latin2 |
| 0.00009 | SET NAMES latin2 |
| 0.00181 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.53.90' WHERE u.id=1 |
| 0.00158 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.147.53.90', 1732313229) |
| 0.00072 | SELECT * FROM punbb_online WHERE logged<1732312929 |
| 0.00065 | SELECT topic_id FROM punbb_posts WHERE id=119535 |
| 0.00008 | SELECT id FROM punbb_posts WHERE topic_id=14259 ORDER BY posted |
| 0.00078 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=14259 AND t.moved_to IS NULL |
| 0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00173 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=14259 ORDER BY p.id LIMIT 0,25 |
| 0.00120 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=14259 |
| Total query time: 0.00885 s | |