Проблема с составлением sudoers

0

2

Добрый вечер! Пробую настроить sudo на запуск определенным пользователем определенных команд от root без пароля. Также, хочу настроить одной из групп пользователя возможность выполения команд выше + еще нескольких от root с паролем.

Пример. Для решения первой задачи создал файл /etc/sudoers.d/ls (права 0440) с содержимым

Cmnd_Alias LSCOMMANDS = /bin/ls
User_Alias LSADMINS = user1
LSADMINS ALL = (ALL) NOPASSWD: LSCOMMANDS

Под пользователем sudo ls отрабатывает без запроса пароля. Добавляю второй файл /etc/sudoers.d/other (0440) с содержимым

Cmnd_Alias OTHERCOMMANDS = /bin/rm, /bin/ls
%group1 ALL = (ALL) OTHERCOMMANDS

В группе group1 пользователь user1 есть. Под пользователем sudo rm запрашивает пароль. Хорошо. Но sudo ls тоже стал просить пароль, как будто первого файла не существует. Почему так?

Ссылка

←	Загрузка со второго диска RAID 1

Default gateway в другой сети

→

Попробуй переименовать файлы: ls → 01_ls, other → 00_other. Думаю, дело в порядке их чтения.

Gotf ★★★
(25.06.13 20:02:57 MSK)

Ответ на: комментарий от Gotf 25.06.13 20:02:57 MSK

Да, так заработало

ka1yaka
(25.06.13 20:16:58 MSK) автор топика

Ссылка

Ответ на: комментарий от Gotf 25.06.13 20:02:57 MSK

Это срабатывает через раз и только на конкретной версии. Видать порядок толи не гарантирован, толи в RHEL и Debian он по разному вычисляется, ибо меня эта проблема изрядно раздражает при работае с зоопарком.

zloelamo ★★★★
(26.06.13 10:30:52 MSK)
Последнее исправление: zloelamo 26.06.13 10:31:09 MSK (всего исправлений: 1)

Ответ на: комментарий от zloelamo 26.06.13 10:30:52 MSK

Видать порядок толи не гарантирован, толи в RHEL и Debian он по разному вычисляется


       sudo will read each file in /etc/sudoers.d, skipping file names that
       end in ~ or contain a . character to avoid causing problems with
       package manager or editor temporary/backup files.  Files are parsed in
       sorted lexical order.  That is, /etc/sudoers.d/01_first will be parsed
       before /etc/sudoers.d/10_second.  Be aware that because the sorting is
       lexical, not numeric, /etc/sudoers.d/1_whoops would be loaded after
       /etc/sudoers.d/10_second.  Using a consistent number of leading zeroes
       in the file names can be used to avoid such problems.

Может от локали зависит?

Gotf ★★★
(26.06.13 18:33:21 MSK)

Ответ на: комментарий от Gotf 26.06.13 18:33:21 MSK

Это описание процесса загрузки. Т.е. читает он файлы в этом порядке, а вот как он инструкции в этих файлах разбирает это интересный вопрос.

zloelamo ★★★★
(26.06.13 18:40:42 MSK)

Ответ на: комментарий от zloelamo 26.06.13 18:40:42 MSK

Вряд ли там что-то сложнее последовательного разбора, разработчики OpenBSD не любят усложнять без надобности.

Кстати, почему вообще не использовать #include вместо #includedir, если важен строгий порядок?

Gotf ★★★
(26.06.13 18:56:56 MSK)

Ответ на: комментарий от Gotf 26.06.13 18:56:56 MSK

Ты не понял. Есть два правила:

user1 -> user2 без пароля

user1 -> anyone c паролем

Так вот. Чисто внешне разобр этих правил идет по желанию левой пятки: то работает вышеуказанная конструкция, то нужно их менять местами, чтоб они оба работали.

zloelamo ★★★★
(26.06.13 19:35:12 MSK)
Последнее исправление: zloelamo 26.06.13 19:35:20 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Загрузка со второго диска RAID 1

Admin

Default gateway в другой сети

→

Похожие темы