sudo-Befehl permanent im aktiven Zustand belassen

bumer · Beitrag von **bumer** » 28.09.2014 17:08:48

Hallo,

Es geht darum, dass ich mit
sudo tail -f /var/log/irgendeinelogdatei
die entsprechende Log-Datei geöffnet und im aktiven Zustand belassen möchte, so dass der Befehl praktisch weiterläuft, bis ich ihn abbreche.

Stellt das ein Sicherheitsrisiko dar, wenn man in einer Konsole eine sudo-Aktivität permanent laufen lässt? Also ich denke eher nicht, da sich sudo ja ausschließlich und nur auf den einen expliziten tail-Befehl bezieht, dennoch frage ich hier vorsichtshalber mal nach.

Viele Grüße,
bumer

reba · Beitrag von **reba** » 28.09.2014 17:15:39

sudo hat ne "Lebensdauer" von 15 Minuten! Ob man das ändern kann, weiß ich nicht.
Ich würde

screen oder

tmux benutzen, den Prozeß mit Hilfe von su starten-

cronoik · Beitrag von **cronoik** » 28.09.2014 17:43:09

Ich halte es für kein Risiko. Lange Ticketzeiten sind eines.
@reba: Die Lebensdauer (also ob gültiges sudo-Ticket oder nicht) ist doch nur (?) beim Starten eines Programms relevant. Wenn tails einmal läuft, dann läuft es doch. Die Ticketzeit kann man übrigens beliebig anpassen [1]

[1] http://wiki.ubuntuusers.de/sudo/Konfigu ... r-auf-Zeit

bumer · Beitrag von **bumer** » 28.09.2014 18:18:26

cronoik hat geschrieben:Ich halte es für kein Risiko. Lange Ticketzeiten sind eines.

Mit langen Ticketzeiten meinst du wahrscheinlich, die "Lebensdauer" eines sudo-Aufrufes. Ich werde den Timeout-Wert auf 0 setzen. Erscheint mir sicherer, da ich die 15 Min nie wirklich ausnutze und sudo nur für einmalige Aufrufe nutze.

cronoik hat geschrieben:Wenn tails einmal läuft, dann läuft es doch.

Das kann ich so bestätigen.

Beitrag von **wanne** » 28.09.2014 18:29:36

Mal ganz dumme Frage: Willst du dem User nicht einfach Leserechte auf die Logdatei geben? Die hat er jetzt über proc ja sowieso.

bumer · Beitrag von **bumer** » 28.09.2014 18:52:06

wanne hat geschrieben:Mal ganz dumme Frage: Willst du dem User nicht einfach Leserechte auf die Logdatei geben? Die hat er jetzt über proc ja sowieso.

Ich müsste die Datei für alle lesbar machen, oder den "normalen" User der Gruppe adm hinzufügen - letzteres ist nicht besonders vorteilhaft, aber mal 'ne dumme Frage zurück: Kann ich einem bestimmten User Leserechte auf eine einzige bestimmte Datei geben?

catdog2 · Beitrag von **catdog2** » 28.09.2014 19:01:17

aber mal 'ne dumme Frage zurück: Kann ich einem bestimmten User Leserechte auf eine einzige bestimmte Datei geben?

Mit ACLs ja (setfacl, getfacl, man acl).

debianforum.de

sudo-Befehl permanent im aktiven Zustand belassen

sudo-Befehl permanent im aktiven Zustand belassen

Re: sudo-Befehl permanent im aktiven Zustand belassen

Re: sudo-Befehl permanent im aktiven Zustand belassen

Re: sudo-Befehl permanent im aktiven Zustand belassen

Re: sudo-Befehl permanent im aktiven Zustand belassen

Re: sudo-Befehl permanent im aktiven Zustand belassen

Re: sudo-Befehl permanent im aktiven Zustand belassen