Запуск скриптов от непривилегированного пользователя

0

2

Добрый день.
Вопрос простой, но не как не могу понять, как это сделать на gentoo, если совсем конкретно, то нужно дать непривилегированному пользователю возможность запускать 2 скрипта( gearman, supervisor ) которые лежат в /etc/init.d, без sudo, то есть что бы обычный пользователь мог как рут просто взять да и набрать /etc/init.d/gearman start и тот запустился.

Ссылка

←	Apache не дает загрузить файл в символом «+» в URL

squid и внешний dns

→

через sudo с NOPASSWD: для пользователя, группы пользователей или алиаса

zunkree ★
(28.01.15 11:23:43 MSK)

Ссылка

suid-бит поставь.

~~Eddy_Em~~ ☆☆☆☆☆
(28.01.15 11:26:31 MSK)

Ссылка

Не знаю, что такое gearman, но supervisor юзеру точно не нужен.

~~funeralismatic~~ ★★★
(28.01.15 11:30:31 MSK)

Ответ на: комментарий от funeralismatic 28.01.15 11:30:31 MSK

gearman сервер очередей, я так понимаю это не совсем хорошая идея такие вещи давать пользователь для запуска ?

rdbn
(28.01.15 11:37:32 MSK) автор топика

Ты что-то делаешь не так...

deterok ★★★★★
(28.01.15 11:58:53 MSK)

Ссылка

Настроить sudo и alias типа

alias gearman_start=sudo /etc/init.d/gearman start

Pinkbyte ★★★★★
(28.01.15 12:25:59 MSK)

Ответ на: комментарий от Pinkbyte 28.01.15 12:25:59 MSK

меня уже больше беспокоит вопрос, а надо ли это вообще делать, ведь такое может привести к весьма плохим последствиям

rdbn
(28.01.15 12:42:15 MSK) автор топика

Технически

suid-бит поставь.

С точки зрения секурности

Ты что-то делаешь не так...

afanasiy ★★★★
(28.01.15 13:37:33 MSK)

chgrp

groups

anonymous
(28.01.15 13:40:06 MSK)

Ссылка

щас набегут системдешники и скажут что в системд есть юзер таргеты. В апстарте кстати тоже есть.

~~nanoolinux~~ ★★★★
(28.01.15 13:53:57 MSK)

Ссылка

Ответ на: комментарий от afanasiy 28.01.15 13:37:33 MSK

спасибо всем за ответы, решил что вообще не буду это делать, имхо нафиг оно нужно давать, обычно пользователю такую возможность, правда есть одна проблема, то из-за чего я вообще стал это делать, как прописать конфиг supervisor так что бы, то что он запускает создавало логи не из под рута, а из под определенного пользователя.

rdbn
(28.01.15 14:21:53 MSK) автор топика

Ответ на: комментарий от rdbn 28.01.15 14:21:53 MSK

supervisor-у ведь в конфиге можно указать, из-под какого пользователя запускать приложение? Если приложение умеет создавать логи только из-под того пользователя, под которым оно запущено, то это твой вариант.

devsdc ★★
(28.01.15 14:47:23 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 28.01.15 12:25:59 MSK

то же интересует подобная тема! только юзеру нужно не стартовать а перезагрузить процесс. внес изменения в sudoers, теперь все релодится без пароля, но sudo все равно вводить нужно. Подскажите, как избежать этого, что бы было просто service <название сервиса> reload

RN3QTB
(28.01.15 16:02:50 MSK)

Ответ на: комментарий от RN3QTB 28.01.15 16:02:50 MSK

замени скрипт service на suid'ный бинарник

~~sdio~~ ★★★★★
(28.01.15 16:07:40 MSK)

Ответ на: комментарий от RN3QTB 28.01.15 16:02:50 MSK

alias service='sudo service' у пользователя пробовал?

Если у него будут права на действие в sudoers - выполнится без пароля. Если нет - запросит пароль и даже если он будет введен правильно - не выполнится

Pinkbyte ★★★★★
(28.01.15 16:08:12 MSK)

Ответ на: комментарий от Pinkbyte 28.01.15 16:08:12 MSK

alias service='sudo service'

ничего не происходит

RN3QTB
(28.01.15 16:11:05 MSK)

Ответ на: комментарий от sdio 28.01.15 16:07:40 MSK

Ох, с этим думаю, будут сложности.

RN3QTB
(28.01.15 16:11:43 MSK)

Ссылка

Ответ на: комментарий от RN3QTB 28.01.15 16:11:05 MSK

в алиасе пропиши полный путь к service как в sudoers

~~sdio~~ ★★★★★
(28.01.15 16:12:37 MSK)

Ссылка

Ответ на: комментарий от RN3QTB 28.01.15 16:11:05 MSK

Эм, ну ты прописал алиас. А теперь после этого набирай service чо-ты-там-хотел.

Если заработает - добавишь в .bashrc пользователя

Pinkbyte ★★★★★
(28.01.15 16:19:42 MSK)
Последнее исправление: Pinkbyte 28.01.15 16:19:57 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 28.01.15 16:19:42 MSK

Да, заработало!

Спасибо огромное!

RN3QTB
(28.01.15 16:22:44 MSK)

Ответ на: комментарий от RN3QTB 28.01.15 16:22:44 MSK

На здоровье. Ты главное в .bashrc эту строчку прописать не забудь, а то алиас при следующем логине пользователя не восстановится.

Pinkbyte ★★★★★
(28.01.15 16:23:50 MSK)

Ответ на: комментарий от rdbn 28.01.15 14:21:53 MSK

вообще если кому еще интересно, то данная проблема решается через назначение в конфигах визора юзера, который будет отвечать за процессы, сам визор может быть запущен от кого угодно, но все же желательно его оставить из под рута.

rdbn
(28.01.15 16:28:23 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 28.01.15 16:23:50 MSK

Да, действительно, после релогина пропадает возможность перезагрузки. Добавил втрочку в .bashrc - не помогло... Если вбивать alias service='sudo service' руками - помогает.

RN3QTB
(28.01.15 16:41:37 MSK)

Ответ на: комментарий от RN3QTB 28.01.15 16:41:37 MSK

У тебя шелл bash? Покажи содержимое .bash_profile у пользователя - если там не грузится .bashrc - добавь эту строчку с alias туда

Pinkbyte ★★★★★
(28.01.15 16:45:27 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 28.01.15 16:23:50 MSK

Все заработало. В оболочке проблема была.

RN3QTB
(28.01.15 16:49:18 MSK)

Ссылка

Ответ на: комментарий от rdbn 28.01.15 11:37:32 MSK

Сам подумай: если юзер может запустить сервис, то он может его и остановить, причём никто не гарантирует, что от юзера будешь действовать именно ты. Не стоит забывать, что весь мир — решето, и в каждую дырку этого решета вагон-ресторан не задевая краёв проходит поперёк.

Ты можешь настроить правила для sudo, ты можешь выставить SUID, ты можешь даже поместить свою железку в воду, но потом не говори, что тебя не предупреждали.

~~funeralismatic~~ ★★★
(28.01.15 17:52:49 MSK)