shutdown-Berechtigung
Nabend! Wie kann ich einem "normalen" Systemuser die Rechte für shutdown einräumen?? Ich muß meinen Server auf einer Messe aufstellen, wo abends nicht immer anwesend sein kann. Daher müssen auch andere Leute das Recht haben, den Server runterzufahren. Und meine root-Rechte werde ich sicherlich nicht rausgeben ;-)) Gruß Christopher
Nmorgen Christopher, Am Freitag, 8. Juni 2001 01:09 schrieb Christopher Nehls:
Nabend!
Wie kann ich einem "normalen" Systemuser die Rechte für shutdown einräumen?? Ich muß meinen Server auf einer Messe aufstellen, wo abends nicht immer anwesend sein kann. Daher müssen auch andere Leute das Recht haben, den Server runterzufahren. Und meine root-Rechte werde ich sicherlich nicht rausgeben ;-))
Was haelst Du den von der Idee, zu finden unter: http://www.kalug.lug.net/linux-admin-FAQ/Linux-Admin-FAQ-6.html#ss6.16 User darf zwar keinen Shutdown, aber Reboot via CTRL-ALT-DEL. Machen, Neustart abwarten, und nach dem rudimentaeren Reboot des PC ausschalten, bevor der neu hochfaehrt.
Gruß
Christopher
Gruss Bernd ---------------------------------------- Content-Type: text/html; charset="iso-8859-1"; name="Anhang: 1" Content-Transfer-Encoding: quoted-printable Content-Description: ---------------------------------------- -- Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
On Fre, Jun 08, 2001 at 01:34:21 +0200, Bernd Schwab wrote:
Am Freitag, 8. Juni 2001 01:09 schrieb Christopher Nehls:
Wie kann ich einem "normalen" Systemuser die Rechte für shutdown einräumen?? Ich muß meinen Server auf einer Messe aufstellen, wo abends nicht immer anwesend sein kann. Daher müssen auch andere Leute das Recht haben, den Server runterzufahren. Und meine root-Rechte werde ich sicherlich nicht rausgeben ;-))
Was haelst Du den von der Idee, zu finden unter: http://www.kalug.lug.net/linux-admin-FAQ/Linux-Admin-FAQ-6.html#ss6.16
User darf zwar keinen Shutdown, aber Reboot via CTRL-ALT-DEL. Machen, Neustart abwarten, und nach dem rudimentaeren Reboot des PC ausschalten, bevor der neu hochfaehrt.
Ähm, da gabs doch mal einen Parameter CONSOLE_SHUTDOWN in /etc/rc.config (oder wie auch immer das jetzt heisst). Der sollte doch extakt das tun, was Du willst. Jan
On Fri, 8 Jun 2001 02:20:59 +0200, Jan Trippler wrote:
On Fre, Jun 08, 2001 at 01:34:21 +0200, Bernd Schwab wrote:
Am Freitag, 8. Juni 2001 01:09 schrieb Christopher Nehls:
Wie kann ich einem "normalen" Systemuser die Rechte für shutdown einräumen?? Ich muß meinen Server auf einer Messe aufstellen, wo abends nicht immer anwesend sein kann. Daher müssen auch andere Leute das Recht haben, den Server runterzufahren. Und meine root-Rechte werde ich sicherlich nicht rausgeben ;-))
Was haelst Du den von der Idee, zu finden unter: http://www.kalug.lug.net/linux-admin-FAQ/Linux-Admin-FAQ-6.html#ss6.16
User darf zwar keinen Shutdown, aber Reboot via CTRL-ALT-DEL. Machen, Neustart abwarten, und nach dem rudimentaeren Reboot des PC ausschalten, bevor der neu hochfaehrt.
Ähm, da gabs doch mal einen Parameter CONSOLE_SHUTDOWN in /etc/rc.config (oder wie auch immer das jetzt heisst). Der sollte doch extakt das tun, was Du willst.
Den DreiFingerSalut kann dann aber jeder ausführen der an den Rechner kommt. Ich würde entweder eine Gruppe anlegen die es ermöglicht USERN die man hierin aufgenommen hat SHUDOWN auszuführen. Oder einen USER der als LOGINshell shutdown bekommt. It's time to close windows !!! with best regards from Dortmund Matthias Popp 49-163-4289 455 PGP Public Key Fingerprint = 71 13 E9 4B 89 E5 88 6C 66 1D B8 E8 32 3A AE AB
Matthias Popp wrote:
Den DreiFingerSalut kann dann aber jeder ausführen der an den Rechner kommt. [...] Oder einen USER der als LOGINshell shutdown bekommt.
Ich habe das gerade mal ausprobiert. User down, Login-Shell /sbin/shutdown (auch mit /sbin/halt getestet) Wenn ich mich dann als down einlogge, sagt er mir dann das ich superuser sein muss um shutdown bzw. halt auszuführen und kommt wieder zum Login-Prompt zurück. Vielleicht ist /etc/sudoers der beste Weg? Rene -- Rene Engelhard, Schwarzbach 4, 42277 Wuppertal, Germany email: mail@rene-engelhard.de Tel: +49-(0)202-661294 Mobiltel: +49-(0)179-2206957 Fax: +49-(0)202-641339 ICQ-Nr.: 98293398
On Fre, Jun 08, 2001 at 08:34:13 +0200, Rene Engelhard wrote: [...]
Ich habe das gerade mal ausprobiert.
User down, Login-Shell /sbin/shutdown (auch mit /sbin/halt getestet)
Wenn ich mich dann als down einlogge, sagt er mir dann das ich superuser sein muss um shutdown bzw. halt auszuführen und kommt wieder zum Login-Prompt zurück.
Dann gib ihm die User-ID 0. Dann solltest Du aber 100% sicher sein, dass er nicht durch irgendwelche Tricks auf die shell kommt ;-) Jan
On Fri, 08 Jun 2001 20:34:13 +0200, Rene Engelhard wrote:
Matthias Popp wrote:
Den DreiFingerSalut kann dann aber jeder ausführen der an den Rechner kommt. [...] Oder einen USER der als LOGINshell shutdown bekommt.
Ich habe das gerade mal ausprobiert.
User down, Login-Shell /sbin/shutdown (auch mit /sbin/halt getestet)
Wenn ich mich dann als down einlogge, sagt er mir dann das ich superuser sein muss um shutdown bzw. halt auszuführen und kommt wieder zum Login-Prompt zurück.
Ich hatte das mal so gelöst indem ich eine Gruppe Shutdown angelegt habe. shutdown habe ich dann von Gruppe Root nach Gruppe Shutdown gewechselt. Den User der dann Shutdown ausführen darf bekam ein harten Link mit dem Namen Shutdown und wurde dann noch in die Gruppe aufgenommen. Alternativ könnte man den User nicht in die Gruppe aufnehmen, so das er mit newgrp in die Gruppe shutdown wechseln muß und dabei wird dann nochmal nach einem Passwort gefragt, wenn ich die Gruppe durch ein Passwort gesichert habe. Wenn ich einen User ABSCHUSS mit Gruppenzugehörigkeit SHUTDOWN und Loginshell /sbin/halt anlege dann funktioniert das auch so ohne das gemeckert wird. It's time to close windows !!! with best regards from Dortmund Matthias Popp 49-163-4289 455 PGP Public Key Fingerprint = 71 13 E9 4B 89 E5 88 6C 66 1D B8 E8 32 3A AE AB
Am Fre, 08 Jun 2001 schrieb Rene Engelhard:
Matthias Popp wrote:
Den DreiFingerSalut kann dann aber jeder ausführen der an den Rechner kommt. [...] Oder einen USER der als LOGINshell shutdown bekommt.
Ich habe das gerade mal ausprobiert.
User down, Login-Shell /sbin/shutdown (auch mit /sbin/halt getestet)
Wenn ich mich dann als down einlogge, sagt er mir dann das ich superuser sein muss um shutdown bzw. halt auszuführen und kommt wieder zum Login-Prompt zurück.
Vielleicht ist /etc/sudoers der beste Weg?
Hi, ja, oder einfacher: /etc/passwd editieren und uid/gid des users auf 0 setzen (root), IMHO kein großes Risiko auf "normalen" Systemen, da ja keine Shell gestartet wird, allenfalls könnte einer einen shutdown-Trojaner installieren... bei höheren Sicherheitsanforderungen ist sowas aber ja sowieso nicht üblich - shutdown von irgendwem... -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
On Mon, 11 Jun 2001 08:19:37 +0200, Joerg Thuemmler wrote:
Am Fre, 08 Jun 2001 schrieb Rene Engelhard:
Matthias Popp wrote:
Den DreiFingerSalut kann dann aber jeder ausf hren der an den Rechner kommt. [...] Oder einen USER der als LOGINshell shutdown bekommt.
Ich habe das gerade mal ausprobiert.
User down, Login-Shell /sbin/shutdown (auch mit /sbin/halt getestet)
Wenn ich mich dann als down einlogge, sagt er mir dann das ich superuser sein muss um shutdown bzw. halt auszuf hren und kommt wieder zum Login-Prompt zur ck.
Vielleicht ist /etc/sudoers der beste Weg?
Hi,
ja, oder einfacher: /etc/passwd editieren und uid/gid des users auf 0 setzen (root), IMHO kein gro es Risiko auf "normalen" Systemen, da ja keine Shell gestartet wird, allenfalls k÷nnte einer einen shutdown-Trojaner installieren... bei h÷heren Sicherheitsanforderungen ist sowas aber ja sowieso nicht blich - shutdown von irgendwem...
In dem Falle halte ich das aber für die beste Lösung. Ein User bekommt die Loginshell "halt" und sonst nichts. Wenn ich einem User die UID/GID 0 verpasse dann kann ja das gleiche anstellen das was normalerweise nur ROOT vorbehalten ist. Zwei User mit der gleichen UID ist mir mal versehentlich passiert, jedenfalls fand ich das nicht so toll , und das war nur eine 6. Hat ein paar lustige Effekte geben, z. B: das einige Prgramme meinten es gäbe plötzlich kein CDROM und Brenner in meinem Rechner. It's time to close windows !!! with best regards from Dortmund Matthias Popp 49-163-4289 455 PGP Public Key Fingerprint = 71 13 E9 4B 89 E5 88 6C 66 1D B8 E8 32 3A AE AB
* Bernd Schwab schrieb am 08.Jun.2001:
User darf zwar keinen Shutdown, aber Reboot via CTRL-ALT-DEL. Machen, Neustart abwarten, und nach dem rudimentaeren Reboot des PC ausschalten, bevor der neu hochfaehrt.
Das Verhalten von CTRL-ALT-DEL wird in der /etc/inittab festgelgt. Bei mir steht da: ca::ctrlaltdel:/sbin/shutdown -r -t 4 now Das -r durch -h ersetzen und gut ist. Bernd -- Umsteiger von Microsoft Windows xx? Hast Du schon file://usr/doc/howto/de/DE-DOS-nach-Linux-HOWTO.txt gelesen? Auch file://usr/doc/Books/Linuxhandbuch.dvi ist zu empfehlen. |Zufallssignatur 1
On Fri, 08 Jun 2001 at 7:24 +0200, Bernd Brodesser wrote:
* Bernd Schwab schrieb am 08.Jun.2001:
User darf zwar keinen Shutdown, aber Reboot via CTRL-ALT-DEL. Machen, Neustart abwarten, und nach dem rudimentaeren Reboot des PC ausschalten, bevor der neu hochfaehrt.
Das Verhalten von CTRL-ALT-DEL wird in der /etc/inittab festgelgt. Bei mir steht da:
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now
Das -r durch -h ersetzen und gut ist.
Besser: /etc/rc.config # # CONSOLE_SHUTDOWN determines how ctrl-alt-del is handled. # Attention: CHECK_INITTAB has to be set to yes, to activate this # feature. # (ignore/reboot/halt) # CONSOLE_SHUTDOWN="halt" und SuSEconfig laufen lassen. Alternativ in YaST. Vorteil: Beim nächsten mal SuSEconfig werden Deine mühevoll gemachten Änderungen nicht überschrieben. Oder: SuSEconfig ändert gar nichts mehr an /etc/inittab und man hat evtl. Probleme, wo man sie nicht vermutet, wenn man was in YaST ändert. Gruß, Bernhard -- ----------------------------------------------------------------- -----> http://www.linuxfreunde.de <------- -----------------------------------------------------------------
Am Fre, 08 Jun 2001 schrieb Bernd Schwab:
Nmorgen Christopher,
Am Freitag, 8. Juni 2001 01:09 schrieb Christopher Nehls:
Nabend!
Wie kann ich einem "normalen" Systemuser die Rechte für shutdown einräumen?? Ich muß meinen Server auf einer Messe aufstellen, wo abends nicht immer anwesend sein kann. Daher müssen auch andere Leute das Recht haben, den Server runterzufahren. Und meine root-Rechte werde ich sicherlich nicht rausgeben ;-))
Was haelst Du den von der Idee, zu finden unter: http://www.kalug.lug.net/linux-admin-FAQ/Linux-Admin-FAQ-6.html#ss6.16
User darf zwar keinen Shutdown, aber Reboot via CTRL-ALT-DEL. Machen, Neustart abwarten, und nach dem rudimentaeren Reboot des PC ausschalten, bevor der neu hochfaehrt.
Hi, warum so umständlich. Wenn Du keine hast, leg einfach 'ne Kennung "shutdown" an, gib ihr ein Passwort und als shell: /sbin/shutdown -h now. -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
*** Bernd Schwab (BerndSchwab@t-online.de) schrieb in suse-linux heute:
[...]
Wie kann ich einem "normalen" Systemuser die Rechte für shutdown einräumen?? Ich muß meinen Server auf einer Messe aufstellen, wo abends nicht immer anwesend sein kann. Daher müssen auch andere Leute das Recht haben, den Server runterzufahren. Und meine root-Rechte werde ich sicherlich nicht rausgeben ;-))
Was haelst Du den von der Idee, zu finden unter: http://www.kalug.lug.net/linux-admin-FAQ/Linux-Admin-FAQ-6.html#ss6.16
Bitte doch mal fuer eine Sekunde den Verstand einschalten! Was denkst Du, was auf einer *Messe* mit einem Rechner passiert, den man beliebig per Affengriff neu starten kann!? Deutlich sinniger ist es, shutdown (fuer die Dauer der Messe) SUID-root zu setzen, der Gruppe "shutdown" zuzuweisen, die Ausfuehrungserlaubnis fuer "others" zu entfernen (x-Bit fuer "others" macht IMHO sowieso keinen Sinn) und die user, die shutdowns ausfuehren koennen sollen, der Gruppe "shutdown" zuzuweisen. Warum komme eigentlich nur immer ich auf solche Ideen!? MG Henning Hucke -- Einer muss den Frieden beginnen, wie den Krieg. -- Stefan Zweig
* Henning Hucke schrieb am 08.Jun.2001:
Bitte doch mal fuer eine Sekunde den Verstand einschalten! Was denkst Du, was auf einer *Messe* mit einem Rechner passiert, den man beliebig per Affengriff neu starten kann!?
Das habe ich so wie so nicht verstanden. Wenn man bedenkt, was ein Messestand kostet, dann müßte doch ein neuer Rechner auch noch drin sein. Ich würde meinen Rechner jedenfalls nicht auf der Messe ausstellen wollen. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
participants (10)
-
Bernd Brodesser
-
BerndSchwab@t-online.de
-
Bernhard Walle
-
Christopher Nehls
-
Henning Hucke
-
Jan.Trippler@t-online.de
-
Joerg Thuemmler
-
Matthias Popp
-
Matthias Popp
-
Rene Engelhard