extra-user für "unsichere" programme?

black lotus

black lotus

Grünschnabel
Hallo Welt,

mein Gedanke ist folgender. "Internetprogramme" wie zB. gaim oder xmule, möchte ich ungerne über mehrere Stunden mit den Rechten meines normales Benutzeraccounts laufen lassen.

Meine Frage deshalb, wie handhabt man das am besten?

Einfach einen neuen Benutzer erstellen, mit dem ich mich dann immer erst einmal einloggen muss, bevor ich besagte Programme starte? Das ist ja schon etwas unpraktisch.

Oder bin ich nur zu paranoid?

Danke.
 
Du bist schon etwas paraniod sofern du nicht als root arbeitest. Ansonsten kannst du dir mit xhost und sudo was basteln, dass alle Programme unter einem anderen User laufen (ohne dass du dich zuerst authorisieren musst etc.).

Wie vertraut bist du denn mit der Unix Welt?
 
Hallo,

alle Programme will ich nicht mit anderen Rechten ausführen. Nur solche wo man direkt im Netz mit erreichbar ist, wie zB. ein irc-client.
Das Ding ist halt, wenn jemand meine normalen Rechte hat, kann er meinetwegen auch gleich root-Rechte haben. Ein System kann man ja neu installieren, nur die ganzen Daten & Einstellungen sind mir wirklich wichtig.

Kann man mit sudo Programme mit den Rechten irgendeines Users ausführen? Hab bisher nur Beispiele für root gefunden und die Manpage ist echt schrecklich ;) Zur Not kann ich aber auch ein script für sudo erstellen, was dann wiederum ein Programm als anderer User startet.

Erscheint mir nur alles ziemlich chaotisch und ich hab mich gefragt, was denn der übliche Weg ist. Wenn es einen solchen denn gibt :)

Wie vertraut bist du denn mit der Unix Welt?
schon recht gut, wobei ich mit X-Authorisation noch nie beschäftigt hab. Hatte auch immer das Problem, dass wenn ich im xterm "su - user -c xapp" mache, die Verbindung zum X-Server nicht erlaubt wird.
 
Hi,

wie wäre es damit: Du legst einen neuen User an, mit minimalen Rechten. Er bekommt eine eigene primäre Gruppe zugewiesen und sonst keine.
Deinem richtigen Benutzer lässt du Mitglied in dieser "privaten" Gruppe werden.

Wenn du nun eines dieser besonderen Programme starten möchtest, benutzt du vorher xhost (wenn es sich um ein Programm handelt, welches eine GUI vorraussetzt) um deinen Dummy-User den Zugriff auf den Xserver zu erlauben. Dann logst du dich als dieser User ein (su dummy) und startest dein Programm.

Wenn du KDE verwendest, schau dir doch den "Befehl Ausführen" Dialog etwas genauer an, dann kannst du dir das mit dem xhost auch sparen.

Wenn du als "Dummy" jetzt irgendwelche Dateien anlegst, landen die natürlich in seinem Heimatverzeichnis. Aber wenn du die richtige Umask setzt, hast du auch als normaler Benutzer Zugriff auf diese Daten (vorrausgesetzt du bist Mitglied seiner Gruppe).

malshun
 
Hi,

habe ich gemacht mit dem user und der gruppe. Ausserdem folgendes "script":

#!/bin/sh
su - net -c "$*"

'net' ist der dummy-user. Das bei sudo eingetragen und nun kann ich jedes Programm als net-user starten ohne mich vorher einloggen zu müssen.
 
Zuletzt bearbeitet:
Malshun hatte Recht, IMHO gibts glaubs bei der Ausfuehr-Option von KDE die Moeglichkeit, das Programm unter einem anderen User zu starten. Alternativ kannst du auch setUid-Programme benutzen welche den Prozess als z.B. nobody starten.

Generell wirst du aber wohl der einzige sein hier der sich solche Umstaende macht ;)
 
Hab kein KDE.

tr0nix schrieb:
Generell wirst du aber wohl der einzige sein hier der sich solche Umstaende macht ;)
naja, immerhin beim mldonkey lag ich nicht so falsch. Aber da gibts sogar eine Option im Programm, die das umwechseln übernimmt.
 

Ähnliche Themen

Mal komplett was neues aufbauen ?

[HowTo] TeamSpeak 2 - RC2 - Server (Deutsch/Englisch)

Server-Monitoring mit RRDTool

Zurück
Oben