Szégyen, de nem tudom …

Kezdőlap Fórumok Vegyes gondok Szégyen, de nem tudom …

10 bejegyzés megtekintése - 251-260 / 305
1 2 3 25 26 27 29 30 31
  • Szerző
    Bejegyzés
  • 2008-07-21-15:56 #2089957
    birno
    Felhasználó
      Tuschke wrote:
      Mit is szeretnél valójában?

      Azt, hogy bizonyos programokat, amikhez root jog kell tudjak futtatni sudo nélkül(persze root jogokkal), legyen az grafikus vagy konzolos progi.

      2008-07-21-15:59 #2089958
      uzsolt
      Felhasználó
        birno wrote:
        Ha létre akarok hozni egy csoportot, amelynek a tagjai csak bizonyos programokhoz férnek hozzá root jogokkal, akkor annyi a teendőm, hogy az adott program csoportját átírom az általam létrehozottra, adok neki jogot a futtatásra/írásra, majd hozzáadom magam az adott csoporthoz?
        Őszintén megmondom, én ezt nem csinálnám. Amikor ilyenekre volt szükségem, akkor létrehoztam egy alias-t (alias program_neve=”sudo program_neve”). Vannak olyan programok, amelyek nem szeretik, ha nem az a fájl tulaja/csoportja/jogosultságai, amit ő gondol, akkor megtagadja az indulást. Többek között ilyen az X szerver is (ezzel LFS alatt mekkorát szívtam, míg rájöttem, mivel van gondja…)

        birno wrote:
        A másik meg az, hogy mi összefüggés van az UID-ek és a jogosultságok között?
        Az ok, hogy minél magasabb az UID-ja annál több jogosultsága van, de hogyan határozza meg csupán az UID a jogosultságokat?

        Code:
        $ echo $UID
        1000
        $ echo $USER
        zsolt

        Amúgy meg RTFM 😛

        birno wrote:
        Honnan lehet megtudni, hogy egy UID-hoz milyen jogok tartoznak?

        Megnézed, ahhoz milyen felhasználói név tartozik:

        Code:
        # cat /etc/passwd | grep 1000 | awk -F „:” {‘print $1’}
        zsolt

        Majd ezután megnézed, hogy ehhez milyen jogok tartoznak (sudoers, stb.)

        Code:
        # grep zsolt /etc/sudoers
        zsolt ALL=NOPASSWD: /sbin/shutdown -h now
        # grep zsolt /etc/group
        dialout:x:20:zsolt
        cdrom:x:24:zsolt
        floppy:x:25:zsolt
        audio:x:29:zsolt
        video:x:44:zsolt
        plugdev:x:46:zsolt
        users:x:100:zsolt
        netdev:x:106:zsolt
        powerdev:x:109:zsolt
        zsolt:x:1000:
        2008-07-21-15:59 #2089959
        Tuschke
        Felhasználó

          Nem helyeslem. A synaptic sem helyesli 🙂
          Setuid.

          2008-07-21-16:09 #2089960
          Tuschke
          Felhasználó
            uzsolt wrote:
            Vannak olyan programok, amelyek nem szeretik, ha nem az a fájl tulaja/csoportja/jogosultságai, amit ő gondol, akkor megtagadja az indulást. Többek között ilyen az X szerver is (ezzel LFS alatt mekkorát szívtam, míg rájöttem, mivel van gondja…)
            Talán itt off, de ezt kicsit nem értem. Vagy nem teljesen.
            Debianból kiindulva, megkérdezi, hogy inditsa az X-servert. Nem javasolja a rootként való automatikus indítást (három variációt dob fel, mindegyikre pontosan már nem emlékszem) biztonsági kockázatra hivatkozva, hanem a javasolt variáció az, hogy konzolos bejelentkezés után inditsuk felhasználóként, startx-el. LFS-nél mi volt a bibi? 
            2008-07-21-16:21 #2089961
            uzsolt
            Felhasználó

              Na, akkor esettanulmány (szégyen, hogy nem tudod 😉 ).
              Szóval az LFS-emben az volt a módi, hogy minden programot külön könyvtárba telepítettem (gobo-féle módszer, csak szerintem kicsit(?) továbbfejlesztve, itt, a „Csomagkezelésem” címszó alatt részletesebben). Most hogy ez jól menjen, és egy progi se ragaszkodjon a /usr(/local)-hoz, ezért egy külön felhasználót (progs) hoztam létre, és „ő” csinálta a programfordítást, és telepítést, ezzel volt garantálva, hogy csak a /usr/progs-ba megy minden (mivel csak oda van progs-nak írásjoga). Namármost amikor az X-et telepítettem, néhány óra alatt fel is ment, utána nem indult. Mint kiderült, az X-nek az volt a baja (mármint a /usr/bin/X-nek), hogy nem volt rajta az a sticky vagy milyen bit (meg talán az is, hogy nem a root tulajdonában volt). 

              Code:
              # ls -l /mnt/lfs/usr/progs/x/xorg-server/1.2.0/bin/Xorg
              -rwsr-xr-x 1 root root 1692324 2007 júl 14 /mnt/lfs/usr/progs/x/xorg-server/1.2.0/bin/Xorg
              # ls -l /mnt/lfs/usr/progs/games/wesnoth/1.4.2/bin/wesnoth
              -rwxr-xr-x 1 1001 1003 5725172 máj 13 18.32 /mnt/lfs/usr/progs/games/wesnoth/1.4.2/bin/wesnoth

              /a második fájl (wesnoth): az 1001-es és 1003-as a progs csoport ill. felhasználót jelenti, de debian alatt ilyen nincs, ezért csak a számot írja ki – ontopik 1/
              Tehát NEM A ROOT-nak kell futtatnia, hanem a bitorló ő kell, hogy legyen. Ha nem hiszed el, és akarsz egy kicsit játszani, akkor változtasd meg a tulaját meg azt a sticky (vagy suid) bit-et vedd le róla. Utána próbáld elindítani.

              Arra meg lusta voltam, hogy a forráskódot átírjam, hogy ezen ne akadjon fenn…

              Meg még van néhány ilyen program, ha nagyon kell, hogy melyekkel találkoztam, töltsd le a honlapomról az LFS-szkriptjeimet, és keresd meg, hol változtatom a tulajt (chmod, chown, chgrp szavakra keress rá – ezért tettem meg, hogy ezeket beleraktam a sudoers-be – ontopik 2).

              2008-07-21-16:46 #2089962
              Tuschke
              Felhasználó

                a tulajdonjog nyilván nem változik attól, hogy júzerként indítom. Kezd derengeni. Szóval az X-nek nem tetszett, hogy progs volt az Ő ura és parancsolója.

                Ettől mondjuk, hogy pl. a synaptic ura és parancsolója a root, lehet futtatója a júzer? Csak ez így kevés, mert még buguntun is csak frontend a synaptic? Tehát apt-re, dpkg-ra is el kell játszani. Jól látom?

                + írási jog a /var/cache-re, valamint minden könyvtárra, amit a frissítés érint. /usr, /etc, etc …
                Szóval maradjunk a setuidnál.

                2008-07-21-16:48 #2089963
                birno
                Felhasználó
                  uzsolt wrote:
                  Amikor ilyenekre volt szükségem, akkor létrehoztam egy alias-t (alias program_neve=”sudo program_neve”).

                  Mi van ha nem konzolból futattom, hanem mondjuk az awesome-menu-ből?
                  Az is olvassa a bashrc-met?

                  Vagy még azt tudom elképzelni, hogy egy scriptet hozok létre, azt bemásolom a /usr/bin-be és mindegyik kapcsolójához hozzárendelek egy „sudo program_neve” parancsot, az bash független.

                  A másik kérdés meg lehet félreérthető volt.
                  Ha mondjuk egy felhasználónak 4 az UID-je, nekem meg 1000, miért van több joga?
                  Mit takar egyáltalán az, hogy több joga van?
                  Mert ha egyszer nem ő egy fájl tulaja vagy nem tagja az adott csoportnak, ugyanúgy nem fér hozzá.
                  Akkor mivel van több joga?
                  Csupán csak több csoport tagja vagy mi?

                  Bocs, de jobban nem tudom megfogalmazni, hogy mire gondolok…

                  2008-07-21-16:52 #2089964
                  Tuschke
                  Felhasználó

                    Felhasználónak soha nem lesz 4 az uid-je. csak 1000 feletti uid-t kaphat.

                    2008-07-21-17:05 #2089965
                    milfer
                    Felhasználó
                      Tuschke wrote:
                      Felhasználónak soha nem lesz 4 az uid-je. csak 1000 feletti uid-t kaphat.

                      Ez így nem igaz.
                      Ha jól emlékszem a Slackware (és a Frugalware is) 500-tól kezdi osztani az azonosítókat. A Debian és klónjai 1000-től.

                      2008-07-21-17:07 #2089966
                      uzsolt
                      Felhasználó
                        birno wrote:
                        Mi van ha nem konzolból futattom, hanem mondjuk az awesome-menu-ből? Az is olvassa a bashrc-met?
                        Nem tudom. A bashrc-t biztos nem olvassa, de ha már úgy indulsz, hogy a „kutyafüle” a „sudo kutyafüle” parancsra egy alias, akkor akár az is lehet (mármintha előtte bejelentkezel konzolon, és startx-szel indulsz, ha bejelentkezéskezelőből, akkor valami .x*-be kell beírni), hogyha nem /usr/bin/kutyafüle néven adod meg, hogy a sudo-s verzió indul el.

                        birno wrote:
                        Ha mondjuk egy felhasználónak 4 az UID-je, nekem meg 1000, miért van több joga?
                        Miből van több joga? Honnan veszed ezt? A linken levő irományt elolvastad?

                        Tuschke wrote:
                        Felhasználónak soha nem lesz 4 az uid-je. csak 1000 feletti uid-t kaphat.

                        Igen? Nézz bele a /etc/passwd fájlodba! Bár annyiban igazad van, hogy általában a sima júzerek 1000 fölötti számot kapnak (de mintha valamelyik disztróban kilencszáz-valamennyit kaptam volna…)
                        Látom, milfer is így emlékszik 😉

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 251-260 / 305
                      1 2 3 25 26 27 29 30 31
                      • Be kell jelentkezni a hozzászóláshoz.