Hallo, ich möchte gerne anderen Benutzern den Aufruf auf ein script "nww" ermöglichen welches root Rechte benötigt. Allerdings will ich das root pwd nicht rausgeben. Also habe ich es mit sudo probiert. Dieses funktioniert soweit auch wenn ich NOPASSWD für den benutzer setze. Das möchte ich aber nicht. Nur wenn ich NOPASSWD _nicht_ setze und als benutzer das script aufrufe dann werde ich nach dem ROOT passwort gefragt und nicht nach dem von benutzer. Das verstehe ich nicht. Sollte hier nicht das passwort des benutzers abgefragt werden? Diesen Effect habe ich wenn ich run as user = root oder all setze. Muss hier ein anderer Wert rein? Defaults targetpw ALL ALL = (ALL) ALL benutzer ALL = (root) /usr/local/bin/nww # User privilege specification root ALL = (ALL) ALL Viele Grüße und vielen Dank schon mal Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael schrieb:
Hallo,
ich möchte gerne anderen Benutzern den Aufruf auf ein script "nww" ermöglichen welches root Rechte benötigt. Allerdings will ich das root pwd nicht rausgeben. Also habe ich es mit sudo probiert. Dieses funktioniert soweit auch wenn ich NOPASSWD für den benutzer setze. Das möchte ich aber nicht. Nur wenn ich NOPASSWD _nicht_ setze und als benutzer das script aufrufe dann werde ich nach dem ROOT passwort gefragt und nicht nach dem von benutzer. Das verstehe ich nicht. Sollte hier nicht das passwort des benutzers abgefragt werden? Diesen Effect habe ich wenn ich run as user = root oder all setze. Muss hier ein anderer Wert rein?
Defaults targetpw ALL ALL = (ALL) ALL benutzer ALL = (root) /usr/local/bin/nww
# User privilege specification root ALL = (ALL) ALL
Wär das suid-Bit evtl. ne Möglichkeit? Dann sparst du dir den Sudo. Gruß Daniel -- Daniel Spannbauer Systembetreuung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 7. Oktober 2008 09:37 schrieb Michael
Nur wenn ich NOPASSWD _nicht_ setze und als benutzer das script aufrufe dann werde ich nach dem ROOT passwort gefragt und nicht nach dem von benutzer. Das verstehe ich nicht. Sollte hier nicht das passwort des benutzers abgefragt werden? Diesen Effect habe ich wenn ich run as user = root oder all setze. Muss hier ein anderer Wert rein?
# In the default (unconfigured) configuration, sudo asks for the root password. # This allows use of an ordinary user account for administration of a freshly # installed system. When configuring sudo, delete the two # following lines: #Defaults targetpw # ask for the password of the target user i.e. root Achja; man sudoers :-) Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Tue, 07 Oct 2008, Daniel Spannbauer schrieb
Wär das suid-Bit evtl. ne Möglichkeit? Dann sparst du dir den Sudo.
Versuche es einfach mal mit einem beliebigen Script. Es funktioniert nicht :-( Beste Grüße, Heinz. -- Buchsatz für Autoren. Vom Manuskript zum Buch www.pahlke-online.de Reiseführer und Reiseberichte: www.erlebnis-osteuropa.de Barrierefreies Webdesign: www.Pahlke-KunstWebDesign.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Di, 7.10.2008, 09:46, schrieb Heinz W. Pahlke:
Hallo,
Am Tue, 07 Oct 2008, Daniel Spannbauer schrieb
Wär das suid-Bit evtl. ne Möglichkeit? Dann sparst du dir den Sudo.
Versuche es einfach mal mit einem beliebigen Script. Es funktioniert nicht :-(
... und das ist auch gut so! Ach ja, man sudoers und dort nach targetpw ausschau halten. Grüße, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael schrieb:
Hallo, Sollte hier nicht das passwort des benutzers abgefragt werden? Diesen Effect habe ich wenn ich run as user = root oder all setze. Muss hier ein anderer Wert rein?
Defaults targetpw ALL ALL = (ALL) ALL benutzer ALL = (root) /usr/local/bin/nww
# User privilege specification root ALL = (ALL) ALL
man sudoers: Zitat: "targetpw If set, sudo will prompt for the password of the user specified by the -u flag (defaults to root) instead of the password of the invoking user. Note that this precludes the use of a uid not listed in the passwd database as an argument to the -u flag. This flag is off by default." Beispiel: %admin ALL=(ALL) /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/bin/wsadmin.sh * War das ungefähr so etwas wie Du suchtest?? Ich habe bei mir "targetpw" nicht gesetzt. Gruß Axel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Axel Birndt schrieb:
man sudoers:
Zitat:
"targetpw [...] oder hier auch eine recht ansprechende Erläuterung:
http://wiki.ubuntuusers.de/sudo/Konfiguration sollte sich aber im Internet noch mehr dazu finden lassen. Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Die, 07 Okt 2008, Axel Birndt schrieb:
Michael schrieb:
Sollte hier nicht das passwort des benutzers abgefragt werden? Diesen Effect habe ich wenn ich run as user = root oder all setze. Muss hier ein anderer Wert rein?
Defaults targetpw ALL ALL = (ALL) ALL
Das ist eine schlechte Idee, selbst mit targetpw ist es ein großes Sicherheitsproblem.
Ich habe bei mir "targetpw" nicht gesetzt.
Das ist, wenn du obigen Eintrag nicht entfernt hast, kein Problem mehr, sondern eine Einladung, da es die Trennung von root und anderen Usern komplett aushebelt. Du könntest auch gleich alles als root machen. -dnh -- | Fragebogen downloaden (4 KB, Textdatei) | Fragebogen downloaden (9 KB, OpenOffice 1.0 File) | Fragebogen downloaden (57 KB, Word 2000 Dokument) Ohne Worte -- Volker Gringmuth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo David, David Haller schrieb:
Hallo,
Am Die, 07 Okt 2008, Axel Birndt schrieb:
Ich habe bei mir "targetpw" nicht gesetzt.
Das ist, wenn du obigen Eintrag nicht entfernt hast, kein Problem mehr, sondern eine Einladung, da es die Trennung von root und anderen Usern komplett aushebelt. Du könntest auch gleich alles als root machen.
-dnh
Das würde also heißen, das Ubuntu (das habe ich bei mir) mittels der sudoers sehr unsicher konfiguriert ist, oder habe ich hier noch ein Verständnisproblem ? Danke & Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Die, 07 Okt 2008, Axel Birndt schrieb:
David Haller schrieb:
Am Die, 07 Okt 2008, Axel Birndt schrieb: Das würde also heißen, das Ubuntu (das habe ich bei mir) mittels der sudoers sehr unsicher konfiguriert ist,
Korrekt. Jede Möglichkeit ein Kommando auszuführen, z.B. via Bug im Browser, bedeutet, daß man sich via 'sudo' auch gleich root Rechte holen kann. Probier's mal aus: setze als User ein root-Kommando via sudo ab, z.B. 'sudo ls /root/'. Setze dann innerhalb des sudo "timeouts" ein 'sudo su -' ab. Mußt du das PW nochmal eingeben? Oder bekommst du eine root-shell? Konsequenz: normalen user erlaubt man nur bestimmte Kommandos mit sudo. Und ich verwende für die meisten Befehle auch gleich 'NOPASSWD'. -dnh -- Auch schon gesehen: # sort /dev/kmem -- A. Wienck -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (7)
-
Axel Birndt
-
Christian Brabandt
-
Daniel Spannbauer
-
David Haller
-
Heinz W. Pahlke
-
Martin Schröder
-
Michael