Dienste als non-root ausführen...

Dieses Thema im Forum "Gentoo" wurde erstellt von heady, 27.10.2006.

  1. heady

    heady Routinier

    Dabei seit:
    13.12.2005
    Beiträge:
    424
    Zustimmungen:
    0
    Ort:
    im Herzen Europas
    Hi, wie ist es möglich, Dienste, die man sonst nur als root starten/stoppen... kann, als normaler User starten zu lasen.

    Konkret ein Beispiel: ich möchte als User Samba starten lassen, ohne dass ich mich jemals als root sudo'e und den Dienst so starte?

    Die Dienste liegen in Gentoo üblicherweise unter /etc/init.d/...

    sag mal jetz schon Danke
    mfg
    heady
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Keruskerfürst, 27.10.2006
    Keruskerfürst

    Keruskerfürst Kaiser

    Dabei seit:
    12.02.2006
    Beiträge:
    1.366
    Zustimmungen:
    0
    1. Man könnte die Zugriffsrechte dieser Dienste ändern.
    2. Man schreibt sich ein kleines Script das mit ausführbar mit s (=superuser) gekennzeichnet wird.
     
  4. #3 supersucker, 27.10.2006
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0

    Müsste es nicht reichen, beim Start-script unter /etc/init.d das suid-Bit zu setzen?

    Probiers einfach mal.
     
  5. Lumpi

    Lumpi Haudegen

    Dabei seit:
    14.06.2006
    Beiträge:
    663
    Zustimmungen:
    0
    Ort:
    Dessau
    Hallo

    Mit dem Befehl sudoers kannst du festlegen,
    wer was ausführen darf. Die dazugehörige Datei
    findest du unter "/etc/sudoers".
    man sudoers

    Gruß Lumpi
     
  6. #5 supersucker, 27.10.2006
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Ich glaube heady meinte ein Lösung ohne "sudo".

    @heady

    Lieg ich da falsch?
     
  7. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Eine Lösung ohne sudo wird bei Samba nichts, da der Ports <1024 nutzt. Diese darf aber nunmal nur root nutzen. Da hilft auch alles Ändern von Rechten nichts. Und das suid-Bit bringt nichts, solange das Programm selbst kein setuid() aufruft.
     
  8. #7 Jabo, 27.10.2006
    Zuletzt bearbeitet: 27.10.2006
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Rechte umbiegen gut?

    Was ja auch seinen Sinn hat... irgendwie wollen immer alle möglichen Leute umgehen, daß Linux zwischen Admin, User und Diensten trennt. Das ist doch aber der Sinn der Sache, daß eines davon nicht ohne Weiters im Kontext des anderen im System herumläuft....
    Könnte man nicht ein Script "smb_on" schreiben, das seinerseits ihm gehört und dann "sodo /etc/init.rd/smb start" macht und ihm das ganze in sodoers ohne Paßwort erlauben? Hab ich jetzt nicht ausprobiert... kommt die Idee rüber?
     
  9. Lumpi

    Lumpi Haudegen

    Dabei seit:
    14.06.2006
    Beiträge:
    663
    Zustimmungen:
    0
    Ort:
    Dessau
    Hallo

    Wenn du Mittels sudo ;) "was auch immer" starten / beenden darfst
    kannst du das natürlich in Scripte einbauen.
    Aber das hat dann nichts mit dem suid-Bit zu tun ;)

    Gruß Lumpi
     
  10. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Nur eine Möglichkeit...

    Nein, aber damit, daß heady unbürokratisch einen Dienst starten will, und das ginge so, ohne an Rechten rumzuschrauben und suid-Bits zu setzen. Nur eine Möglichkeit, mehr nicht. :)

    Heady gibt dann einfach ein ./smb_on und schwupp...
     
  11. heady

    heady Routinier

    Dabei seit:
    13.12.2005
    Beiträge:
    424
    Zustimmungen:
    0
    Ort:
    im Herzen Europas
    ui ui...da habe ich ja eine große diskussion angezettelt...
    danke erstmals - ich werde mir mal eure lösungen ansehen...

    außerdem meinte ich ja jetzt nicht nur samba...
    das selbige wäre toll für meinen apache und firebird server...

    also würde ich eher nach einer allgemeinen lösung suchen...

    an SUDOERS habe ich auch schon gedacht, da werde ich mal ein wenig
    googlen

    mfg heady
     
  12. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Die sudoers wird deine einzige Möglichkeit sein, da auch Apache per Default Ports <1024 (nämlich Port 80) nutzt. Schau einfach mal in 'man sudo' und 'man sudoers'. :)
     
  13. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Wenn die Dienste schon in /etc/init.d liegen, kannst Du sie doch bequem beim Booten starten lassen, ohne einen Finger zu kruemmen, wenn Du sie in das entsprechende runlevel-Verzeichnis verlinkst. Wieso moechtest Du das nicht tun?
     
  14. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  15. heady

    heady Routinier

    Dabei seit:
    13.12.2005
    Beiträge:
    424
    Zustimmungen:
    0
    Ort:
    im Herzen Europas
    Naja, was ist, wenn der Dienst gestartet ist? Dann möcht ich ihn ja hin und wieder (kann ja mal vorkommen :) ) neustarten...aber es ist egal, ich habs bereits gelöst...

    Ein Eintrag in /etc/sudoers und es funktioniert wunderbar...
     
  16. #14 tastenklopfer, 15.11.2006
    tastenklopfer

    tastenklopfer Solaris & Gentoo

    Dabei seit:
    08.08.2006
    Beiträge:
    34
    Zustimmungen:
    0
    Man kann keinem Script das suid-Bit setzen. Selbst wenn es geht dann würde das ignoriert werden! Wenn unsicheres suid, dann die Binaries selbst. Würde ich nicht machen wollen.

    Eine Lösung ohne sudo funtioniert mittels Portforwarding:

    Starte den beliebigen Dienst auf localhost Port > 1024. Datei- und Verzeichnisrechte ggf. auf den Applikationuser anpassen (nur wo er schreiben muss, sont nix! weniger ist mehr) Ein globaler Dienst in den Start- Stop- Diensten laufen lassen der verschieden Ports umbiegt. z.b. localhost:1234 ->extern-Interface:136
    Dafür gibt es iptables-Rules oder kleine Hilfsprogramme die nur Ports "umbiegen".
     
Thema:

Dienste als non-root ausführen...

Die Seite wird geladen...

Dienste als non-root ausführen... - Ähnliche Themen

  1. Free Software Foundation bewertet Codehosting-Dienste

    Free Software Foundation bewertet Codehosting-Dienste: Die Free Software Foundation (FSF) hat Bewertungen nach den selbst definierten Richtlinien für mehrere Codehosting-Dienste herausgegeben....
  2. Artikel: Fünf private Cloud-Dienste für Linux im Überblick

    Artikel: Fünf private Cloud-Dienste für Linux im Überblick: Öffentliche Cloud-Speicher haben eines gemeinsam: Anwender geben ihre Daten aus der Hand und speichern sie auf fremden Servern. Dieser Artikel...
  3. Artikel: So machen Sie Cloud-Dienste sicher

    Artikel: So machen Sie Cloud-Dienste sicher: Daten in der Cloud waren die letzten Jahre ein Hype, und Cloud-Anbieter wuchsen wie Pilze. Heutzutage ist aber Verschlüsselung Thema der Stunde....
  4. SUSE Linux Enterprise Server 10 und 11 auf Amazon-Web-Diensten

    SUSE Linux Enterprise Server 10 und 11 auf Amazon-Web-Diensten: Novell hat bekannt gegeben, dass ab sofort SUSE Linux Enterprise Server auf den Amazon-Web-Diensten verfügbar ist. Weiterlesen...
  5. Dienste nur lokal erreichbar

    Dienste nur lokal erreichbar: Moin, ich habe ein Problem.(Wer hätte es gedacht!) Und zwar habe ich meinen Linux Debian Root neu gestartet nach 186 Tagen. Seit dem kann ich...