LINUX.ORG.RU
ФорумAdmin

Запуск скриптов от непривилегированного пользователя

 


0

2

Добрый день.
Вопрос простой, но не как не могу понять, как это сделать на gentoo, если совсем конкретно, то нужно дать непривилегированному пользователю возможность запускать 2 скрипта( gearman, supervisor ) которые лежат в /etc/init.d, без sudo, то есть что бы обычный пользователь мог как рут просто взять да и набрать /etc/init.d/gearman start и тот запустился.


через sudo с NOPASSWD: для пользователя, группы пользователей или алиаса

zunkree ()
Ответ на: комментарий от funeralismatic

gearman сервер очередей, я так понимаю это не совсем хорошая идея такие вещи давать пользователь для запуска ?

rdbn ()

Ты что-то делаешь не так...

deterok ★★★★★ ()
Ответ на: комментарий от Pinkbyte

меня уже больше беспокоит вопрос, а надо ли это вообще делать, ведь такое может привести к весьма плохим последствиям

rdbn ()

щас набегут системдешники и скажут что в системд есть юзер таргеты. В апстарте кстати тоже есть.

nanoolinux ★★★★ ()
Ответ на: комментарий от afanasiy

спасибо всем за ответы, решил что вообще не буду это делать, имхо нафиг оно нужно давать, обычно пользователю такую возможность, правда есть одна проблема, то из-за чего я вообще стал это делать, как прописать конфиг supervisor так что бы, то что он запускает создавало логи не из под рута, а из под определенного пользователя.

rdbn ()
Ответ на: комментарий от rdbn

supervisor-у ведь в конфиге можно указать, из-под какого пользователя запускать приложение? Если приложение умеет создавать логи только из-под того пользователя, под которым оно запущено, то это твой вариант.

devsdc ★★ ()
Ответ на: комментарий от Pinkbyte

то же интересует подобная тема! только юзеру нужно не стартовать а перезагрузить процесс. внес изменения в sudoers, теперь все релодится без пароля, но sudo все равно вводить нужно. Подскажите, как избежать этого, что бы было просто service <название сервиса> reload

RN3QTB ()
Ответ на: комментарий от RN3QTB

alias service='sudo service' у пользователя пробовал?

Если у него будут права на действие в sudoers - выполнится без пароля. Если нет - запросит пароль и даже если он будет введен правильно - не выполнится

Pinkbyte ★★★★★ ()
Ответ на: комментарий от RN3QTB

в алиасе пропиши полный путь к service как в sudoers

sdio ★★★★★ ()
Ответ на: комментарий от RN3QTB

Эм, ну ты прописал алиас. А теперь после этого набирай service чо-ты-там-хотел.

Если заработает - добавишь в .bashrc пользователя

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от RN3QTB

На здоровье. Ты главное в .bashrc эту строчку прописать не забудь, а то алиас при следующем логине пользователя не восстановится.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от rdbn

вообще если кому еще интересно, то данная проблема решается через назначение в конфигах визора юзера, который будет отвечать за процессы, сам визор может быть запущен от кого угодно, но все же желательно его оставить из под рута.

rdbn ()
Ответ на: комментарий от Pinkbyte

Да, действительно, после релогина пропадает возможность перезагрузки. Добавил втрочку в .bashrc - не помогло... Если вбивать alias service='sudo service' руками - помогает.

RN3QTB ()
Ответ на: комментарий от RN3QTB

У тебя шелл bash? Покажи содержимое .bash_profile у пользователя - если там не грузится .bashrc - добавь эту строчку с alias туда

Pinkbyte ★★★★★ ()
Ответ на: комментарий от rdbn

Сам подумай: если юзер может запустить сервис, то он может его и остановить, причём никто не гарантирует, что от юзера будешь действовать именно ты. Не стоит забывать, что весь мир — решето, и в каждую дырку этого решета вагон-ресторан не задевая краёв проходит поперёк.

Ты можешь настроить правила для sudo, ты можешь выставить SUID, ты можешь даже поместить свою железку в воду, но потом не говори, что тебя не предупреждали.

funeralismatic ★★★ ()
Ответ на: комментарий от rdbn

меня уже больше беспокоит вопрос, а надо ли это вообще делать

Не надо. Но если всё-таки надо то через sudo, при-чём только именно для нужных команд.

MrClon ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.