cfertsch
Jungspund
Besten Dank
Gruß
Christian
Gruß
Christian
Zuletzt bearbeitet:
Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: Diese Funktion erfordert derzeit den Zugriff auf die Seite über den integrierten Safari-Browser.
grep dein_user /etc/sudoers
hoppers:~ # grep kalle /etc/sudoers
kalle ALL=(ALL) ALL
kalle@hoppers:~> sudo -l
User kalle may run the following commands on this host:
(ALL) ALL
(root) NOPASSWD: /bin/mount -o loop* -t iso9660* /home/*/.kisotmp/*
(root) NOPASSWD: /bin/umount /home/*/.kisotmp/*
(ALL) ALL
erstaunlich.Das klappt so nicht:
ALL ALL=NOPASSWD:/bin/mount -o loop* -t iso9660* /home/*/.kisotmp/* ,/bin/umount /home/*/.kisotmp/*
kalle ALL=(ALL) ALL
# grep jens /etc/sudoers
jens ALL = (root) NOPASSWD: /bin/dd, /root/mail_restart.sh, /home/jens/bin/mail_restart, (root) NOPASSWD: /root/x_chown.sh, (root) NOPASSWD: /opt/kde3/bin/kiso
~> sudo -l
User jens may run the following commands on this host:
(ALL) ALL
(root) NOPASSWD: /bin/dd
(root) NOPASSWD: /root/mail_restart.sh
(root) NOPASSWD: /home/jens/bin/mail_restart
(root) NOPASSWD: /root/x_chown.sh
(root) NOPASSWD: /opt/kde3/bin/kiso
(root) NOPASSWD: /bin/mount -o loop* -t iso9660* /home/*/.kisotmp/*
(root) NOPASSWD: /bin/umount /home/*/.kisotmp/*
Ganz genau, ja. Du wolltest aber wissen, wie du als root siehst, was für einen User in der sudoers erlaubt ist, so zumindest war die Frage.@jens: Das sudo -l hast Du als Benutzer ausgeführt, und nicht als root.
Den Satz verstehe ich nicht ganz, das NOPASSWD ist für mich der Hauptgrund, sudoers überhaupt zu benutzen. Ich will einfach bestimmte Befehle erlauben und die eingeben können.Das NOPASSWD: ist in der Praxis nicht üblich, das wenn ich als root auf den jens
switche und sudo -l mache muss ich das Passwort wissen
Das ist mir schon klar, wir haben uns da wohl mißverstanden.Hallo Jabo,
sorry aber ich muss Dir nochmal auf die Sprünge helfen.
sudo und su ist nicht das selbe
Das hängt halt extrem von der Umgebung ab, die die du hier (übrigens gerade zum ersten mal im Thread) beschreibst, legt grundsätzlich strenge Regeln nahe.Es macht auf jeden Fall sinn ein Kennwort eingeben zu müssen.
Stell Dir mal ein vergessenes offenes Terminal vor. Übrigens geht
es bei unserer "sudoers" Datei um ca. 3000 Benutzer und 300 Gruppen
auf ca. 300 Servern.
Ich meinte, daß ich das Eingeben des Kennwortes für einen bestimmten Befehl tatsächlich einsparen wollte, da ist es dann egal, welches fällig wäre. Und zum Paßwort schau mal mein Beispiel unten. Ich brauche ohne NOPASSWD definitv das root-Paßwort in dem Fall. Mit der sudoers könnte ich das jemandem erlauben, ohne ihm das Paßwort sagen zu müssen. *Das* fände ich nämlich gefährlich.Und falls Du es noch nicht bemerkt hast, musst Du wenn Du als
Benutzer "jens" sudo machst nicht das root Kennwort eingeben,
das wäre ja Blödsinn, sondern Dein Benutzerkennwort, und das solltest
Du ja wissen.
na sicher ist das klar, ich hab sudo -l als Vergleichsausgabe gepostet, nicht als Lösung, aber ich dachte das hätte ich auch gesagt?So und jetzt sollte auch klar sein, wen ich root bin und auf den Benutzer switche
das ich bei einem "sudo -l" das Kennwort des Benutzers nicht weiss
Also, das "mailrestart"-Dings z.B. macht in einem Rutsch einen Neustart von Postfix und Fetchmail, das hat einen bestimmten Grund, warum ich das als User auf *diesem* Rechner können möchte. Die Init-Scripte direkt starten oder stoppen oder den Daemons irgend welche Parameter übergeben kann ich deshalb noch lange nicht.Übrigens auf Shellskripte, Befehle wie "vi" , "more" oder less ist es
extrem gefährlich sudo Rechte zu geben
~> mailrestart
Password:
Sorry, try again.
Unbedingt!Und bei der Anzahl von Benutzer stimmst Du mir bestimmt zu das es auf Gruppenebene
besser zu administrieren ist.
Aber das kannst du doch auch verskripten. "groups" auf den User und die Antwort in ein Array, damit dann sudoers durch baggern. Ob du nun nach nem User grepst oder nach der Gruppe, ist grep doch eigentlich egal...Aktuell muss ich mir also die Arbeit machen nachzusehen in welchen Gruppen ein Benutzer
ist um dann in der sudoers nachzusehen welche Befehle er auf welchem System ausführen darf.
Ja sicher. s.o., dann greppe halt nach der Gruppe.... und frage die für den User vorher ab.Du weisst das man in der sudoers auch Gruppen eintragen kann?
Ja, es ist ja eine Datei. Die kann man durch die Gegend kopieren, das überrascht mich nicht sooo sehrDu weisst das man eine sudoers für alle System pflegen kann und diese dann verteielen kann.
#sudo -u Benutzername sudo -l
Ja, stimt. Jetzt wo du's sagst... ich hab noch 2 Debianer, einen Etch und einen Lenny, da ist es so wie du es beschreibst. Auf denen hatte ich bisher die sudoers nicht benutzt und dadurch eine offenbar einseitige Vorstellung davonHallo Jabo,
Ich vermute das Du SuSE Linux nutzt, Da gibt es in der Voreinstellung
diesen Eintrag in der sudoers : Defaults targetpw