URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74055
[ Назад ]

Исходное сообщение
"ограничение пользователей"
Отправлено obl , 14-Май-07 17:12

Мне нужно пользователей ограничить так чтобы они могли выполнять только то что разрешено, тоесть две-три команды с определенными параметрами. Логически подумав поставил sudo и для логирования - sudosh...
теперь вопрос, как поставить префикс перед каждой командой /usr/local/bin/sudo
тоесть чтобы если пользователь выполняет команду во первых он мог выполнять только то что разрешено в sudoers во вторых чтобы он sudo подставлял не ручками, а система сама ето делала за него... и никак иначе?
тоесть если он пишет svn или synk то для системы ети команды должны выглядеть как sudo svn и sudo synk
спасибо!

Содержание

ограничение пользователей,Алексей, 09:20 , 15-Май-07
- ограничение пользователей,obl, 10:37 , 15-Май-07
  - ограничение пользователей,Алексей, 10:51 , 15-Май-07
    - ограничение пользователей,obl, 11:19 , 15-Май-07
      - ограничение пользователей,Алексей, 11:33 , 15-Май-07
        
        ограничение пользователей,Алексей, 11:35 , 15-Май-07
        
        ограничение пользователей,obl, 13:39 , 15-Май-07
        
        ограничение пользователей,newser, 14:14 , 15-Май-07
        
        ограничение пользователей,Алексей, 14:34 , 15-Май-07
        
        ограничение пользователей,obl, 20:12 , 15-Май-07

Сообщения в этом обсуждении

"ограничение пользователей"
Отправлено Алексей , 15-Май-07 09:20

>Мне нужно пользователей ограничить так чтобы они могли выполнять только то что
>разрешено, тоесть две-три команды с определенными параметрами. Логически подумав поставил sudo
>и для логирования - sudosh...
>теперь вопрос, как поставить префикс перед каждой командой /usr/local/bin/sudo
>тоесть чтобы если пользователь выполняет команду во первых он мог выполнять только
>то что разрешено в sudoers во вторых чтобы он sudo подставлял
>не ручками, а система сама ето делала за него... и никак
>иначе?
>тоесть если он пишет svn или synk то для системы ети команды
>должны выглядеть как sudo svn и sudo synk
>
>спасибо!
А алиасы в профайле не пробовал прописать?

"ограничение пользователей"
Отправлено obl , 15-Май-07 10:37

>>Мне нужно пользователей ограничить так чтобы они могли выполнять только то что
>>разрешено, тоесть две-три команды с определенными параметрами. Логически подумав поставил sudo
>>и для логирования - sudosh...
>>теперь вопрос, как поставить префикс перед каждой командой /usr/local/bin/sudo
>>тоесть чтобы если пользователь выполняет команду во первых он мог выполнять только
>>то что разрешено в sudoers во вторых чтобы он sudo подставлял
>>не ручками, а система сама ето делала за него... и никак
>>иначе?
>>тоесть если он пишет svn или synk то для системы ети команды
>>должны выглядеть как sudo svn и sudo synk
>>
>>спасибо!
>А алиасы в профайле не пробовал прописать?
а вы представляете сколько алиасов надо!
или я чего-то непонимаю..

"ограничение пользователей"
Отправлено Алексей , 15-Май-07 10:51

>>>Мне нужно пользователей ограничить так чтобы они могли выполнять только то что
>>>разрешено, тоесть две-три команды с определенными параметрами. Логически подумав поставил sudo
>>А алиасы в профайле не пробовал прописать?
>
>а вы представляете сколько алиасов надо!
>или я чего-то непонимаю..
Значит вы не правильно ставите задачу, вверху написали "две-три команды с определенными параметрами" если уж три строчки не добавить в профайл, то вы уж меня извините.

"ограничение пользователей"
Отправлено obl , 15-Май-07 11:19

>>>>Мне нужно пользователей ограничить так чтобы они могли выполнять только то что
>>>>разрешено, тоесть две-три команды с определенными параметрами. Логически подумав поставил sudo
>>>А алиасы в профайле не пробовал прописать?
>>
>>а вы представляете сколько алиасов надо!
>>или я чего-то непонимаю..
>Значит вы не правильно ставите задачу, вверху написали "две-три команды с определенными
>параметрами" если уж три строчки не добавить в профайл, то вы
>уж меня извините.

^) угу.. видимо недостаточно правильно:
две три команды - да, но остальные ненадо им юзать. тоесть если он набирает команду ipfw show - должно все ок быть, тоесть подставить автоматом строку к судо и уже с рутовыми правами выполнить команду, а если ipfw flush - должно подставить ту же строку и сказать что запись в sudo не найдена и завершиться

"ограничение пользователей"
Отправлено Алексей , 15-Май-07 11:33

>^) угу.. видимо недостаточно правильно:
>две три команды - да, но остальные ненадо им юзать. тоесть если
>он набирает команду ipfw show - должно все ок быть, тоесть
>подставить автоматом строку к судо и уже с рутовыми правами выполнить
>команду, а если ipfw flush - должно подставить ту же строку
>и сказать что запись в sudo не найдена и завершиться
>

Дак так и будет. ТО что разрешено и прописано в профайле то будет выполняться, то что не разрешено будет вылетать с ошибкой

"ограничение пользователей"
Отправлено Алексей , 15-Май-07 11:35

>
>Дак так и будет. ТО что разрешено и прописано в профайле то
>будет выполняться, то что не разрешено будет вылетать с ошибкой
alias ipfw=/usr/local/sbin/sudo ipfw

"ограничение пользователей"
Отправлено obl , 15-Май-07 13:39

>>
>>Дак так и будет. ТО что разрешено и прописано в профайле то
>>будет выполняться, то что не разрешено будет вылетать с ошибкой
>
>alias ipfw=/usr/local/sbin/sudo ipfw

вы опять чегото не поняли..
и таких алиасов будет сколько? сколько и команд в системе? меня ето Не устраивает
повторяю /usr/local/sbin/sudo должно подставляться перед каждым вызовом команды,ето будет наиболее безопасно..

"ограничение пользователей"
Отправлено newser , 15-Май-07 14:14

>>>
>>>Дак так и будет. ТО что разрешено и прописано в профайле то
>>>будет выполняться, то что не разрешено будет вылетать с ошибкой
>>
>>alias ipfw=/usr/local/sbin/sudo ipfw
>
>
>вы опять чегото не поняли..
>и таких алиасов будет сколько? сколько и команд в системе? меня ето
>Не устраивает
>повторяю /usr/local/sbin/sudo должно подставляться перед каждым вызовом команды,ето будет наиболее безопасно..
Да нет, это Вы ничего не поняли. Вам это уже объяснили здесь: http://forum.sysadmins.ru/2/164576/

"ограничение пользователей"
Отправлено Алексей , 15-Май-07 14:34

>>вы опять чегото не поняли..
>>и таких алиасов будет сколько? сколько и команд в системе? меня ето
>>Не устраивает
>>повторяю /usr/local/sbin/sudo должно подставляться перед каждым вызовом команды,ето будет наиболее безопасно..
>
>Да нет, это Вы ничего не поняли. Вам это уже объяснили здесь:
>http://forum.sysadmins.ru/2/164576/
Действительно вам что простых пермишенов не хватает? Вам всё равно в sudo придётся все эти команды прописывать. Либо свой компилить. Не знаю какую ОС вы используете. В Солурке есть ещё роли и проекты и зоны. Варианты есть

"ограничение пользователей"
Отправлено obl , 15-Май-07 20:12

>
>>>вы опять чегото не поняли..
>>>и таких алиасов будет сколько? сколько и команд в системе? меня ето
>>>Не устраивает
>>>повторяю /usr/local/sbin/sudo должно подставляться перед каждым вызовом команды,ето будет наиболее безопасно..
>>
>>Да нет, это Вы ничего не поняли. Вам это уже объяснили здесь:
>>http://forum.sysadmins.ru/2/164576/
>
>Действительно вам что простых пермишенов не хватает? Вам всё равно в
>sudo придётся все эти команды прописывать. Либо свой компилить. Не знаю
>какую ОС вы используете. В Солурке есть ещё роли и проекты
>и зоны. Варианты есть

да я и не спорю и готов засунуть все в судо, тем более что список там ограничивается 10ю-20ю командами..
юзаю я фрю. хотелось сделать все красиво и просто... так было бы надежнее всего, да видимо придется таки оставлять юзерам шелл правильный, логировать его, да пермишинсы через mac+acl выставлять.