Hi, ich bin wahrscheinlich mal wieder blind und seh den Wald vor lauter Bäumen nicht... wie erlaube ich einem User, "newaliases" auszuführen? Alfred
Am Donnerstag, 18. Oktober 2001 09:52 schrieb Matthias Strack:
Gudn,
At 09:44 18.10.2001 +0200, Alfred Reinhard wrote:
Hi,
ich bin wahrscheinlich mal wieder blind und seh den Wald vor lauter Bäumen nicht... wie erlaube ich einem User, "newaliases" auszuführen?
am besten gar nicht!
ach - Du lässt statt dessen lieber deine Server-Applikationen als root laufen? Ne, das wiederum ist MIR zu heiss.. - mein Apache kriegt KEIN root Alfred
Am Donnerstag, 18. Oktober 2001 10:13 schrieb Matthias Strack:
At 09:57 18.10.2001 +0200, Alfred Reinhard wrote:
ach - Du lässt statt dessen lieber deine Server-Applikationen als root laufen? Ne, das wiederum ist MIR zu heiss.. - mein Apache kriegt KEIN root
Glaubenskrieg ;)
nö :-))) aber wenns nen direkten Weg gibt ohne Umwege oder Verrenkungen (cron, su1, ...) dann ist meine Faulheit natürlich stärker... Alfred
Am Donnerstag, 18. Oktober 2001 10:13 schrieb Alfred Reinhard:
Am Donnerstag, 18. Oktober 2001 10:13 schrieb Matthias Strack:
At 09:57 18.10.2001 +0200, Alfred Reinhard wrote:
ach - Du lässt statt dessen lieber deine Server-Applikationen als root laufen? Ne, das wiederum ist MIR zu heiss.. - mein Apache kriegt KEIN root
Glaubenskrieg ;)
nö :-))) aber wenns nen direkten Weg gibt ohne Umwege oder Verrenkungen (cron, su1, ...) dann ist meine Faulheit natürlich stärker...
Hallo Alfred, hallo Leute, was hast Du gegen sudo? Das lässt sich einfach einrichten und ist IMHO auch einfach zu benutzen. Die folgende Zeile sollte dem User wwwrun erlauben, /usr/bin/newaliases auszuführen: wwwrun ALL=(ALL) NOPASSWD:/usr/bin/newaliases Um das ganze einzurichten, rufe -als root- visudo auf, gib diese Zeile ein und dann die bekannte vi-Bedienung ESC :wq RETURN. Danach sollte der Zugriff auf newaliases für wwwrung frei sein. Aufrufen musst Du es dann natürlich mit "sudo /usr/bin/newaliases" Evtl. kann man es auch auf "sudo newaliases" verkürzen(?) -- Gruß Christian Boltz -- Linux is like a wigwam: no gates, no windows, but an apache inside.
Am Donnerstag, 18. Oktober 2001 23:57 schrieb Christian Boltz:
Hallo Alfred, hallo Leute,
was hast Du gegen sudo? Das lässt sich einfach einrichten und ist IMHO auch einfach zu benutzen.
...
Aufrufen musst Du es dann natürlich mit "sudo /usr/bin/newaliases" Evtl. kann man es auch auf "sudo newaliases" verkürzen(?)
Habs mit su1 gemacht. Natürlich isses kein Problem, aber mir wäre es halt lieber gewesen, das würde durch eine Zuweisung einer Gruppe an einen User geschehen, als dass ich - wie jetzt - in fremden Perl-Scripten den Aufruf von newaliases suchen und dort die Zeilen zu modifizieren muss. Die Rumpatcherei in fremden Paketen zieht immer ne Folge von Änderungen in meiner Netzdokumentation nach sich, was meiner angeborenen Faulheit zuwiederläuft... :-) Alfred
Am Freitag, 19. Oktober 2001 07:49 schrieb Alfred Reinhard:
Am Donnerstag, 18. Oktober 2001 23:57 schrieb Christian Boltz:
was hast Du gegen sudo? Das lässt sich einfach einrichten und ist IMHO auch einfach zu benutzen. ... Aufrufen musst Du es dann natürlich mit "sudo /usr/bin/newaliases" Evtl. kann man es auch auf "sudo newaliases" verkürzen(?)
Habs mit su1 gemacht. Natürlich isses kein Problem, aber mir wäre es halt lieber gewesen, das würde durch eine Zuweisung einer Gruppe an einen User geschehen, als dass ich - wie jetzt - in fremden Perl-Scripten den Aufruf von newaliases suchen und dort die Zeilen zu modifizieren muss. Die Rumpatcherei in fremden Paketen zieht immer ne Folge von Änderungen in meiner Netzdokumentation nach sich, was meiner angeborenen Faulheit zuwiederläuft...
Hallo Alfred, hallo Leute, eigentlich wollte ich diesen Tip wegen Sicherheitsbedenken nicht geben, aber es ist eben die Lösung für falue Admins ;-) 1. eine Gruppe "newaliases" anlegen 2. chgrp newaliases /usr/bin/newaliases 3. chmod g+s /usr/bin/newaliases (IIRC) Damit setzt Du das suid-root-bit für newaliases, d. h. wenn ein Mitglied der Gruppe "newaliases" das Programm ausführt, ist es so, als ob es der Besitzer (i. d. R. root) ausführt. 4. den User, der newaliases ausführen soll, in die Gruppe newaliases aufnehmen. Wie gesagt: für Sicherheitsrisiken keine Haftung! (ich hoffe, Du erlaubst keinem User aus Bequemlichkeit, seine Gruppenzugehörigkeit selbst zu erweitern? Das würde nämlich auch Deiner angeborenen Faulheit entgegenkommen ;-) Gruß Christian Boltz -- Linux is like a wigwam: no gates, no windows, but an apache inside.
participants (3)
-
Alfred Reinhard
-
Christian Boltz
-
Matthias Strack