Dazu müsste er aber wieder das root Passwort kennen, was eben nicht der Fall sein soll. Oder gibt es Fälle (sudo?), in denen für "su -" nicht das root Passwort eingegeben werden muss?
Grüße Ralf
Die gibt es, man kann sudo so konfigurieren, dass es statt dem root-Passwort das user-Passwort verlangt. So kann man mit sudo passwd ohne Kenntnis des aktuellen root-Passworts ein neues setzen. Ich denke, das nehme ich jetzt in Kauf, nachdem ich mir eine Version der "passwd" und "shadow" gesichert habe. Gruß, Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Steffen, Steffen Mattern schrieb:
Die gibt es, man kann sudo so konfigurieren, dass es statt dem root-Passwort das user-Passwort verlangt. So kann man mit sudo passwd ohne Kenntnis des aktuellen root-Passworts ein neues setzen. Ich denke, das nehme ich jetzt in Kauf, nachdem ich mir eine Version der "passwd" und "shadow" gesichert habe.
Warum ? Verbiete einfach das der User sudo su - ausführen darf. Außerdem darf der User auch nicht visudo und vi /etc/sudoers ausführen! => http://www.linux-user.de/ausgabe/2002/05/084-zubefehl/sudo.html => http://de.linwiki.org/wiki/Linuxfibel_-_System-Administration_-_Nutzerverwal... ..... # Benutzer Alias Spezifikation User_Alias LOCALUSER=tux,user,newbie User_Alias NETGROUP=+intranet,tux # Zielbenutzer Alias Spezifikation Runas_Alias WORKAS=operator,%printer # Rechner Alias Spezifikation Host_Alias SOMEHOSTS=erde,sonne,melmac.outside.all Host_Alias NETWORKS=localnet,194.168.17.0/255.255.255.127 Host_Alias MIXED=erde.galaxis.de,128.233.1.12,linuxnet # Kommando Alias Spezifikation Cmnd_Alias REBOOT=/sbin/shutdown -r now,/sbin/reboot Cmnd_Alias HALT=/sbin/shutdown -h now,/sbin/halt Cmnd_Alias USERADMIN=/usr/sbin/vipw "",/usr/sbin/vigr "" Cmnd_Alias SHELLS=/bin/sh,/bin/csh,/bin/tcsh,/bin/ksh # Benutzer Spezifikationen # tux darf alles tux ALL = (ALL) ALL # notux erhält Root-Rechte, darf aber den Rechner nicht booten. Und damit er diese Beschränkung durch Öffnen einer neuen Shell nicht umgehen kann, werden diese ausgeklammert (siehe Anmerkungen im Anschluss) *notux ALL = (ALL) ALL,!REBOOT,!HALT,!SHELLS* # Lokale Benutzer dürfen auf Rechner "sonne" das Modem ohne Passwortangabe benutzen (dies stellt insofern eine Alternative zu den Suid-Bits dar, da die Berechtigung detaillierter konfiguriert werden können und die Benutzung protokolliert wird) LOCALUSER sonne = NOPASSWD: /usr/bin/wvdial # "newbie" darf auf allen Rechnern in der Gruppe NETGROUP ein "su" mit allen Argumenten außer "root" ausführen. Oder anders formuliert, er kann mit su jeder Nutzer werden ausgenommen root. newbie NETGROUP = /bin/su ?*,!/bin/su *root* # Jeder darf auf jedem Rechner ohne Eingabe eines Passwortes den Automounter zum Unmounten der nicht benutzten Dateisysteme auffordern ALL ALL = NOPASSWD:/usr/bin/killall -USR1 automount Jetzt hast Du alles was Du brauchst. Nur noch anpassen :-) Du wirst halt nicht umhin kommen den Sudo Mechanismus zu verstehen. -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 9. Juli 2009 13:15 schrieb Axel Birndt
..... # Benutzer Alias Spezifikation User_Alias LOCALUSER=tux,user,newbie User_Alias NETGROUP=+intranet,tux # Zielbenutzer Alias Spezifikation Runas_Alias WORKAS=operator,%printer # Rechner Alias Spezifikation Host_Alias SOMEHOSTS=erde,sonne,melmac.outside.all Host_Alias NETWORKS=localnet,194.168.17.0/255.255.255.127 Host_Alias MIXED=erde.galaxis.de,128.233.1.12,linuxnet # Kommando Alias Spezifikation Cmnd_Alias REBOOT=/sbin/shutdown -r now,/sbin/reboot Cmnd_Alias HALT=/sbin/shutdown -h now,/sbin/halt Cmnd_Alias USERADMIN=/usr/sbin/vipw "",/usr/sbin/vigr "" Cmnd_Alias SHELLS=/bin/sh,/bin/csh,/bin/tcsh,/bin/ksh # Benutzer Spezifikationen # tux darf alles tux ALL = (ALL) ALL # notux erhält Root-Rechte, darf aber den Rechner nicht booten. Und damit er diese Beschränkung durch Öffnen einer neuen Shell nicht umgehen kann, werden diese ausgeklammert (siehe Anmerkungen im Anschluss) *notux ALL = (ALL) ALL,!REBOOT,!HALT,!SHELLS*
Was hält notux davon ab, ein ----------- sudo cp -a /sbin/shutdown /tmp/foo sudo /tmp/foo -r now ----------- zu machen? Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Martin, Martin Schröder schrieb:
Am 9. Juli 2009 13:15 schrieb Axel Birndt
:
*notux ALL = (ALL) ALL,!REBOOT,!HALT,!SHELLS*
Was hält notux davon ab, ein ----------- sudo cp -a /sbin/shutdown /tmp/foo sudo /tmp/foo -r now ----------- zu machen?
Leute !!! :-)) Der Inhalt meiner Mail war keine Lösung sondern nur ein Hinweis auf Möglichkeiten! Wenn Du einen besseren Vorschlag hast, dann ergänze ihn doch einfach. Ich glaube nicht das der Threadstarter etwas mit Deinem Posting anfangen kann. Mir brauchst du es nicht zu schicken, weil ich nur Hinweise gegeben habe. Was genau benötigt wird muß Steffen ohnehin für sich selbst rausfinden. Ich werde ihm die sudoers mit Sicherheit nicht schreiben. -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Axel Birndt
-
Martin Schröder
-
Steffen Mattern