-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-10-03 a las 20:30 -0500, RŌNIN escribió:
En mi opinión, te mueves en terreno resbaladizo, eso no esta pensado para el uso que quieres darle.
Espero no haber malinterpretado tu respuesta, si es así corrígeme ... pero no quiero usar el visudo para manipular otros archivos que no sea el tal /etc/sudoers; solo me gustaría saber el "cómo funciona" para que impida a otros usuarios editar simultáneamente el archivo /etc/sudoers.
¿ Cambiará flags, atributos, propietarios ?... lo que sea, es eso lo que quiero saber.
Pues mira el código fuente >:-) No es nada de lo que dices, porque visudo trabaja como root, y ese se salta eso. Supongo que usa el mecanismo de bloqueo del kernel. Para hacer eso los servidores de ficheros tendrían que exportar por NFS, no samba, y tendrías que reprogramar los editores que usen tus programadores. Como teneis programadores, pídeles que te programen esa modificación >>:-) Y ten en cuenta lo siguiente: Si un programador suelta momentaneamente un archivo, para compilarlo por ejemplo, otro programador puede pillarlo en ese instante y quitarselo. Es decir, tendrías un interbloqueo en los editores, pero nada más. No en la combinación completa de programas que useis. Y tendrías que retirar todos los editores que no cumplieran con el interbloqueo de todas las máquinas a las que puedan acceder los usuarios, y cortar el acceso desde el resto de la red. Otra posibilidad es tener todos los archivos a nombre de alguien que no tenga acceso a ninguno. Cuando alguien solicita un archivo, un programa de control tendría que ponerlo a nombre exclusivo de quien lo vaya a usar, hasta que lo desactive. Ese programa de control tendríais que hacerlo, con un control estricto. Y tampoco sobre samba, sino NFS. Y tendríais problemas cuando alguno quiera compilar, si algún fichero está en manos de alguien, que es el que está probando una modificación. A lo mejor un grupo necesitaría tener acceso de lectura. Tendrías que tener control sobre los permisos que tengan los ficheros, y ten en cuenta que eso depende de quien cree los ficheros, no hay soporte para forzar uid, gid, y permisos por alguien que no sea quien esté creando el fichero. Y en el momento en que alguien tiene acceso, como es el propietario temporal, le puede cambiar los permisos, como por ejemplo, lectura para todos. Tendrías que limitar el conjunto de programas y ordenes que puede ejecutar cada usuario, de manera que no puedan hacer cosas como cambiar esos permisos. Para eso tendrías que definirlo mediante un "rbash", y no te va a ser sencillo. Otra posibilidad es que te estudies lo que se pueda conseguir mediante ACLs, que son más versátiles que los permisos clásicos de unix. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkjmz94ACgkQtTMYHG2NR9XunACfahPa35vTs7Fjse34BfUbt2FY AOkAn2vlN5lvdmmeVLhk/7XBi/pUSqPl =GnkQ -----END PGP SIGNATURE-----