Hallo, ich verwende kdm als Displaymanager und icewm als Windowmanager. Wie kann ich aus meinem Windowmanager raus direkt den Rechner runterfahren ohne vorher nochmal im kdm zu landen? Als root darf ich das, als normaler user nicht, da gibts die Fehlermeldung "/sbin/halt: must be superuser". Früher (suse 6.irgendwas) konnte man irgendwo in rc.config oder so einstellen, dass normale user, wenn sie lokal eingeloggt sind, den Rechner mit shutdown runterfahren können - wie geht das in Suse 8.0? Schönen Dank, Sebastian
Sebastian Loebbert schrieb:
ich verwende kdm als Displaymanager und icewm als Windowmanager. Wie kann ich aus meinem Windowmanager raus direkt den Rechner runterfahren ohne vorher nochmal im kdm zu landen? Als root darf ich das, als normaler user nicht, da gibts die Fehlermeldung "/sbin/halt: must be superuser". Früher (suse 6.irgendwas) konnte man irgendwo in rc.config oder so einstellen, dass normale user, wenn sie lokal eingeloggt sind, den Rechner mit shutdown runterfahren können - wie geht das in Suse 8.0?
Hmm, ich glaube, diese Einstellung galt auch dort nur fuer den Displaymanager. Wenn Du als normaler User das Kommando "halt" ausfuehren moechtest, dann schau Dir mal "sudo" an. Das erlaubt normalen Usern bestimmte Aktionen auszufuehren, die sonst nur root kann. Die Konfigurationsdatei liegt in /etc und heisst sudoers. Der User kann dann das gewuenschte Kommando mit "sudo Kommando" ausfuehren. Mein User hat fol- genden Alias gesetzt: alias halt='sudo /sbin/halt' Somit kann man dann auch als normaler User ganz einfach "halt" eingeben und erzielt das Gewuenschte :-) Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe
Sebastian Loebbert wrote:
Als root darf ich das, als normaler user nicht, da gibts die Fehlermeldung "/sbin/halt: must be superuser". Früher (suse 6.irgendwas) konnte man irgendwo in rc.config oder so einstellen, dass normale user, wenn sie lokal eingeloggt sind, den Rechner mit shutdown runterfahren können - wie geht das in Suse 8.0?
Wenn sich keine remote-User einloggen koennen, kannst du erwaegen, die Datei /etc/permissions.local dahingehend zu veraendern, das die Befehle "halt" und "reboot" das suid-bit erhalten. Danach SuSEconfig starten und dann kann jeder User mit Shell-Zugang mit diesen Befehlen den Rechner abschalten. Peter
*** Peter Wiersig (wiersig-ml@dns.glamus.de) schrieb in suse-linux am Aug...:
[...] Wenn sich keine remote-User einloggen koennen, kannst du erwaegen, die Datei /etc/permissions.local dahingehend zu veraendern, das die Befehle "halt" und "reboot" das suid-bit erhalten. Danach SuSEconfig starten und dann kann jeder User mit Shell-Zugang mit diesen Befehlen den Rechner abschalten.
Wenn Du schon auf die Idee mit den Rechten kommst, warum dann auf eine so schräge Weise!? In solchen Fällen bitte eine entsprechende Gruppe einrichten, den Binary die entsprechende Gruppe zuweisen, x-Recht nur für owner (root) und diese Gruppe geben und den Usern, die berechtigt sein sollen, die entsprechende Gruppe als eine secondary group zuweisen. Bei mir sieht das beispielsweise so aus, dass ich die Gruppe "shutdown" eingerichtet habe, der Binary (von shutdown, denn der wir eh von halt und reboot aufgerufen) "-r-sr-x--- 1 root shutdown" hat und ich unter anderem in der Gruppe "shutdown" bin. MfG Henning Hucke -- Linux wurde nur möglich, weil 20 Jahre Betriessystemforschung sorgfältig studiert, analysiert, diskutiert und verworfen wurden. Ingo Molnar auf linux-kernel
Henning Hucke wrote:
*** Peter Wiersig (wiersig-ml@dns.glamus.de) schrieb in suse-linux am Aug...:
[...] Wenn sich keine remote-User einloggen koennen, kannst du erwaegen, die Datei /etc/permissions.local dahingehend zu veraendern, das die Befehle "halt" und "reboot" das suid-bit erhalten. Danach SuSEconfig starten und dann kann jeder User mit Shell-Zugang mit diesen Befehlen den Rechner abschalten.
Wenn Du schon auf die Idee mit den Rechten kommst, warum dann auf eine so schräge Weise!?
Du *musst* auf einer SuSE8.0 schon permissions.local (.easy, secure) verwenden. Ueber die permissions.* kann man auch Gruppenzugehoerigkeit von binaries festlegen.
Bei mir sieht das beispielsweise so aus, dass ich die Gruppe "shutdown" eingerichtet habe, der Binary (von shutdown, denn der wir eh von halt und reboot aufgerufen) "-r-sr-x--- 1 root shutdown" hat und ich unter anderem in der Gruppe "shutdown" bin.
shutdown kann viel mehr als halt und reboot. shutdown erfordert ein Zeitargument, welches dann leicht verschleiern kann, wer den Rechner wann runtergefahren hat. Aber auch dein Weg kann akzeptabel sein. Peter
*** Peter Wiersig (wiersig-ml@dns.glamus.de) schrieb in suse-linux heute:
[...] Du *musst* auf einer SuSE8.0 schon permissions.local (.easy, secure) verwenden. Ueber die permissions.* kann man auch Gruppenzugehoerigkeit von binaries festlegen.
Ich meinte war mit "schräg", allen Usern unselektiv das Recht zum Runterfahren zu geben, aber egal... In den permissions.* stehen _einige_ Binaries nicht drin. Unter anderem "shutdown", "halt" und "reboot". Ein Nicht-Eintragen würde also AFAIK kein Nachteil zum Eintragen sein. Aber man *sollte* es in der tat tun.
[...] shutdown kann viel mehr als halt und reboot. shutdown erfordert ein Zeitargument, welches dann leicht verschleiern kann, wer den Rechner wann runtergefahren hat.
Ich weiß nicht, ob es Sinn macht, Usern die Möglichkeit zum Runterfahren zu geben, bei denen man damit rechnen müßte, dass sie das auch mal verschleiern wollen... sudo würde in der Tat die Möglichkeit bilden, festzustellen, welcher User den Rechner runtergefahren / neu gestartet hat. Sei es mit "halt" "reboot" oder auch "shutdown". Bei einfacher Verwendung von "halt" und Konsorten ist mir nicht ganz klar, wie Du feststellen willst, welcher User den Befehl abgesetzt...
[...]
MG Henning Hucke -- Keine Ahnung, was "KISS" oder "RTFM" heisst? Installiere das SuSE-Packet "bsdgames" und verwende den Befehl "wtf" (see "man wtf"). special suse-linux fortune
Henning Hucke wrote:
*** Peter Wiersig (wiersig-ml@dns.glamus.de) schrieb in suse-linux heute:
Ich meinte war mit "schräg", allen Usern unselektiv das Recht zum Runterfahren zu geben, aber egal...
Da die User sich ja an der Workstation lokal anmelden, sehe ich darin kein Problem. Wer an meinen Rechner herantritt, kann auch den Stromstecker ziehen.
shutdown kann viel mehr als halt und reboot. shutdown erfordert ein Zeitargument, welches dann leicht verschleiern kann, wer den Rechner wann runtergefahren hat.
[...]
Jupp, nach Nachdenken komme ich auch zu dem Schluss, das mein Argument Muell war.
Am Son, 2002-08-25 um 20.30 schrieb Sebastian Loebbert:
Hallo,
ich verwende kdm als Displaymanager und icewm als Windowmanager. Wie kann ich aus meinem Windowmanager raus direkt den Rechner runterfahren ohne vorher nochmal im kdm zu landen? Als root darf ich das, als normaler user nicht, da gibts die Fehlermeldung "/sbin/halt: must be superuser". Früher (suse 6.irgendwas) konnte man irgendwo in rc.config oder so einstellen, dass normale user, wenn sie lokal eingeloggt sind, den Rechner mit shutdown runterfahren können - wie geht das in Suse 8.0?
chmod u+s /sbin/shutdown chgrp users /sbin/shutdown Damit kann jeder User (der Mitglied in Gruppe users ist) den Rechner rebooten / herunter fahren (zumindest aus der Konsole). -- Matthias Hentges [www.hentges.net] "Thats what sucks about windows, you can't say that you rooted some one. Saying "I ADMINISTRATORED YOU!" just doesnt sound cool."
Am Montag, 26. August 2002 00:05 schrieb Matthias Hentges:
Am Son, 2002-08-25 um 20.30 schrieb Sebastian Loebbert:
Hallo,
ich verwende kdm als Displaymanager und icewm als Windowmanager. Wie kann ich aus meinem Windowmanager raus direkt den Rechner runterfahren ohne vorher nochmal im kdm zu landen? Als root darf ich das, als normaler user nicht, da gibts die Fehlermeldung "/sbin/halt: must be superuser". Früher (suse 6.irgendwas) konnte man irgendwo in rc.config oder so einstellen, dass normale user, wenn sie lokal eingeloggt sind, den Rechner mit shutdown runterfahren können - wie geht das in Suse 8.0?
chmod u+s /sbin/shutdown chgrp users /sbin/shutdown
Damit kann jeder User (der Mitglied in Gruppe users ist) den Rechner rebooten / herunter fahren (zumindest aus der Konsole).
Nicht ganz, damit kann bei mir jeder Benutzer den Rechner runterfahren. Unabhängig von der Gruppenzugehörigkeit. Ein chmod o-xr /sbin/shutdown sollte da helfen um sicher zu gehen. Gruß, Markus
Markus Juergens schrieb:
Am Montag, 26. August 2002 00:05 schrieb Matthias Hentges:
[...] chmod u+s /sbin/shutdown chgrp users /sbin/shutdown
Damit kann jeder User (der Mitglied in Gruppe users ist) den Rechner rebooten / herunter fahren (zumindest aus der Konsole).
Nicht ganz, damit kann bei mir jeder Benutzer den Rechner runterfahren. Unabhängig von der Gruppenzugehörigkeit. Ein
chmod o-xr /sbin/shutdown
sollte da helfen um sicher zu gehen.
Aeh, ihr wisst schon, was ihr da tut, oder? Das ist das Sicherheitsloch schlechthin. Warum wollt ihr shutdown das s-bit geben? Schaut lieber mal nach "sudo", dafuer ist das gedacht. Solche Dinge sollte man sich besser nicht angewoehnen.... Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe
*** Thomas Hertweck (Thomas.Hertweck@gpi.uni-karlsruhe.de) schrieb in...:
[...]
chmod o-xr /sbin/shutdown
sollte da helfen um sicher zu gehen.
Aeh, ihr wisst schon, was ihr da tut, oder? Das ist das Sicherheitsloch schlechthin. Warum wollt ihr shutdown das s-bit geben? Schaut lieber mal nach "sudo", dafuer ist das gedacht. Solche Dinge sollte man sich besser nicht angewoehnen....
Wo ist das Sicherheitsloch, wenn others die Programme jetzt überhaupt nichtmehr ausführen können!? Es ist sicherlich eines, alle Mitglieder der Gruppe "users" einen Binary mit suid-Bit ausführen zu lassen. Bei sudo erlaubst Du auch usern, etwas als "root" auszuführen. IMHO kommt aber sogar noch die Gefahr der Fehlkonfiguration dazu. MfG Henning Hucke -- Ein Wunsch kann durch nichts mehr verlieren als dadurch, dass er in Erfuellung geht. -- Peter Bamm
Henning Hucke wrote:
Wo ist das Sicherheitsloch, wenn others die Programme jetzt überhaupt nichtmehr ausführen können!? Es ist sicherlich eines, alle Mitglieder der Gruppe "users" einen Binary mit suid-Bit ausführen zu lassen.
Unter SuSE ist die Standardgruppe fuer neu angelegte Benutzer "users". Warum sollte man allen dieser Gruppe das Recht geben, den Rechner runterzufahren? Das halte ich fuer ein Sicherheitsloch, ja!
Bei sudo erlaubst Du auch usern, etwas als "root" auszuführen. IMHO kommt aber sogar noch die Gefahr der Fehlkonfiguration dazu.
Ich kann es genau einem User erlauben, das ist der grosse Unterschied. Und je nach Konfiguration muss dieser User sich auch mit Passwort identifizieren. Also, eine Fehlkonfiguration moechte ich da nun mal ausschliessen, das kann man ja auch testen. Halte es jedenfalls fuer sicherer als einer gesamten Grup- pe oder sogar allen durch Aendern der Rechte an shut- down ein Runterfahren zu ermoeglichen. Ebenso halte ich es fuer nicht so gut, die Gruppe von shutdown zu aendern etc. - da kann beim Anlegen neuer User ein- fach mit der Gruppenzugehoerigkeit zu viel schief gehen (Ich zitiere: "IMHO kommt aber sogar noch die Gefahr der Fehlkonfiguration dazu." ;-) Es hat schon einen Sinn, warum es Programme wie sudo gibt. Gruesse, Thomson
On 26 Aug 2002 at 10:48, Thomas Hertweck wrote:
Henning Hucke wrote:
Wo ist das Sicherheitsloch, wenn others die Programme jetzt überhaupt nichtmehr ausführen können!? Es ist sicherlich eines, alle Mitglieder der Gruppe "users" einen Binary mit suid-Bit ausführen zu lassen.
Unter SuSE ist die Standardgruppe fuer neu angelegte Benutzer "users". Warum sollte man allen dieser Gruppe das Recht geben, den Rechner runterzufahren? Das halte ich fuer ein Sicherheitsloch, ja!
Moment, Hennings Vorschlag war ja das Einrichten einer speziellen "shutdown" Gruppe. Ihr seid beide der gleichen Meinung, das man das _nicht_ der Gruppe users erlauben sollte.
Bei sudo erlaubst Du auch usern, etwas als "root" auszuführen. IMHO kommt aber sogar noch die Gefahr der Fehlkonfiguration dazu.
Ich kann es genau einem User erlauben, das ist der grosse Unterschied.
Nö, das geht mit der Zuweisung zu einer Gruppe genauso
Und je nach Konfiguration muss dieser User sich auch mit Passwort identifizieren.
Das ist natürlich ein Vorteil der sudo-Lösung. Ein gesetztes S-Bit führt den Befehl gnadenlos aus.
Also, eine Fehlkonfiguration moechte ich da nun mal ausschliessen, das kann man ja auch testen. Halte es jedenfalls fuer sicherer als einer gesamten Grup- pe oder sogar allen durch Aendern der Rechte an shut- down ein Runterfahren zu ermoeglichen.
Da kann ich wiederum keinen Vorteil erkennen. Hennings Vorschlag ist einfach und elegant. Und für diesen Zweck ausreichend. Wenn man sowieso noch mehr Rechtemanipulationen mit sudo macht, dann bietet sich IMHO an, auch hier sudo zu verwenden. Aber wenn das das einzige ist: Warum dann noch ein Tool (Es bietet keine zusätzliche Sicherheit)
Ebenso halte ich es fuer nicht so gut, die Gruppe von shutdown zu aendern etc. - da kann beim Anlegen neuer User ein- fach mit der Gruppenzugehoerigkeit zu viel schief gehen (Ich zitiere: "IMHO kommt aber sogar noch die Gefahr der Fehlkonfiguration dazu." ;-)
Nö, aber das ist hier nur meine Meinung.
Es hat schon einen Sinn, warum es Programme wie sudo gibt.
Ja, aber wie immer unter Linux/Unix gibt es mehrere und hier meiner Meinung nach auch gleichwertige Lösungen, die zum Ziel führen. Andreas
Andreas Kyek wrote:
On 26 Aug 2002 at 10:48, Thomas Hertweck wrote:
[...] Unter SuSE ist die Standardgruppe fuer neu angelegte Benutzer "users". Warum sollte man allen dieser Gruppe das Recht geben, den Rechner runterzufahren? Das halte ich fuer ein Sicherheitsloch, ja!
Moment, Hennings Vorschlag war ja das Einrichten einer speziellen "shutdown" Gruppe. Ihr seid beide der gleichen Meinung, das man das _nicht_ der Gruppe users erlauben sollte.
Soweit richtig.
Bei sudo erlaubst Du auch usern, etwas als "root" auszuführen. IMHO kommt aber sogar noch die Gefahr der Fehlkonfiguration dazu.
Ich kann es genau einem User erlauben, das ist der grosse Unterschied.
Nö, das geht mit der Zuweisung zu einer Gruppe genauso
Nein, damit erlaubst Du es einer Gruppe. Du kannst natuerlich nur einen User dann in diese Gruppe auf- nehmen, aber was macht das fuer einen Sinn? Wenn es mehreren bestimmten Usern erlaubt werden soll, dann gebe ich Dir recht, dann ist diese Methode elegant. Wenn es genau einem User erlaubt werden soll, dann halte ich nachwievor "sudo" fuer die bes- sere Alternative.
Also, eine Fehlkonfiguration moechte ich da nun mal ausschliessen, das kann man ja auch testen. Halte es jedenfalls fuer sicherer als einer gesamten Grup- pe oder sogar allen durch Aendern der Rechte an shut- down ein Runterfahren zu ermoeglichen.
Da kann ich wiederum keinen Vorteil erkennen. Hennings Vorschlag ist einfach und elegant. Und für diesen Zweck ausreichend.
Siehe oben. Fuer einen einzelnen User, dem etwas erlaubt werden soll, halte ich es nicht fuer elegant. Fuer meh- rere User stimme ich zu. Was das Fehlkonfigurieren an- geht, so meinte ich, dass man aufpassen muss, welcher User nun welcher Gruppe angehoert, insbesondere auch beim Neuanlegen usw. - da moechte ich auch nicht aus- schliessen, dass mal was schief laeuft. Ein explizites Erlauben ueber /etc/sudoers finde ich jedenfalls dann fuer mich als Admin bei einem einzelnen User besser.
Ja, aber wie immer unter Linux/Unix gibt es mehrere und hier meiner Meinung nach auch gleichwertige Lösungen, die zum Ziel führen.
Es gibt meist mehrere Wege, manche moegen gleichwertig sein, manche moegen Vor- und Nachteile haben. Ich denke, es ist daher ja ganz gut, dass wir hier diskutieren und moegliche Vor- und Nachteile eroertern. Letztendlich wird halt doch jeder die Methode verwenden, die er fuer die bessere haelt ;-) Gruesse, Thomson
participants (7)
-
Andreas Kyek
-
Henning Hucke
-
Markus Juergens
-
Matthias Hentges
-
Peter Wiersig
-
Sebastian Loebbert
-
Thomas Hertweck