sudo will bei mir nicht

Colttt · Beitrag von **Colttt** » 25.08.2010 12:18:41

Hallo,

ich möchte gerne das ein oder andere programm als normalen user ausführen können, dafür hab ich sudo installiert und wie folgt konfiguriert, nur leider klappt das nicht so:

Code: Alles auswählen

cat /etc/sudoers.d/test
colttt ALL=/sbin/shutdown NOPASSWD

zum einen fragt er mir immer noch nach dem passwort zum anderen meckert er mit mir das ich das nicht darf. jmd ne idee warum?

------------------------------------------
Edit:

ok hab die Syntax geändert, diese müsste jetzt richtig sein, trotzdem gehts nicht

Code: Alles auswählen

colttt ALL = NOPASSWD: /sbin/shutdown

gbotti · Beitrag von **gbotti** » 25.08.2010 13:24:38

Hallo.

Ist in der /etc/sudoers ein

Code: Alles auswählen

#includedir /etc/sudoers.d

drin?

Felis · Beitrag von **Felis** » 25.08.2010 13:28:22

Code: Alles auswählen

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Hast es so gemacht?

Colttt · Beitrag von **Colttt** » 25.08.2010 14:01:39

Hallo.

Ist in der /etc/sudoers ein [...]

ohh man, wer lesen kann ist klar im vorteil.. hab das garnicht gesehn gehabt..

aber wenn ich das so mache, geht es komischweise nicht, aber wenn ich das direkt in die /etc/sudoers eintrage geht es..

Felis · Beitrag von **Felis** » 25.08.2010 14:15:53

Nur eine Frage als DAU: Warum setzt fürs shutdown nicht einfach das Suid-Bit?

Code: Alles auswählen

chmod 4755 /sbin/shutdown

Bitte mich jetzt nicht wegen Sicherheitsbedenken fertig machen!

Beitrag von **KBDCALLS** » 25.08.2010 15:22:06

Felis hat geschrieben: Bitte mich jetzt nicht wegen Sicherheitsbedenken fertig machen!

Es ist nun mal eine Sicherheitslücke . Denn das hieße jeder kann die Kiste runterfahren, selbst von außen über Netz. Und dann gibt es Programme die lassen das von sich aus schon nicht zu, selbst wenn man wolllte. Jetzt kann ich allerdings nicht sagen ob shutdown dazugehört.

Felis · Beitrag von **Felis** » 25.08.2010 15:32:51

Hast mich schon überzeugt. Hab bei mir das Suid-Bit wieder entfernt. Shutdown lässt es nämlich sehr wohl zu, es zu setzen.

Beitrag von **KBDCALLS** » 25.08.2010 18:24:35

Colttt hat geschrieben: Edit:

ok hab die Syntax geändert, diese müsste jetzt richtig sein, trotzdem gehts nicht
Code: Alles auswählen
colttt ALL = NOPASSWD: /sbin/shutdown

Das muß ja auch richtig heißen

Code: Alles auswählen

shutdown -h now

Nur shutdown ergibt nur eine Hilfe.

Beitrag von **habakug** » 25.08.2010 20:40:55

Hallo!

kbdcalls hat geschrieben:Das muß ja auch richtig heißen

In die "sudoers" gehören keine Parameter. Hier geht es nur darum Zugriff auf Programme zu gestatten.
Etwa so:

Code: Alles auswählen

# visudo
> # User alias specification
> User_Alias AUSMACHER = user1, user2
> # Cmnd alias specification
> Cmnd_Alias AUS = /sbin/shutdown, /sbin/halt, /sbin/reboot
> # User privilege specification
> AUSMACHER ALL = NOPASSWD: AUS

"shutdown" ist nur ein Skript, auch "halt" (und "reboot") sollte erlaubt sein.
Man kann den User aber auch einfach in die Datei "/etc/shutdown.allow" einfügen:

Code: Alles auswählen

# echo user1 >> /etc/shutdown.allow

Jetzt kann der User mit

Code: Alles auswählen

# /sbin/shutdown -a -h now

den Rechner herunterfahren.

Gruß, habakug

# man shutdown

Beitrag von **KBDCALLS** » 26.08.2010 13:13:24

habakug hat geschrieben:Hallo!

kbdcalls hat geschrieben:Das muß ja auch richtig heißen
In die "sudoers" gehören keine Parameter. Hier geht es nur darum Zugriff auf Programme zu gestatten.

Wer sagt das das nicht sein darf ?

Code: Alles auswählen

heinrich@svetlana:/home/matthias$ sudo -l
User heinrich may run the following commands on this host:
    (root) /sbin/shutdown -h now

Code: Alles auswählen

heinrich@svetlana:/home/matthias$ sudo shutdown
Sorry, user heinrich is not allowed to execute '/sbin/shutdown' as root on svetlana.matthias.uccnet.de.

Code: Alles auswählen

heinrich@svetlana:/home/matthias$ /sbin/shutdown -g noww
shutdown: you must be root to do that!

Code: Alles auswählen

heinrich@svetlana:/home/matthias$ sudo /sbin/shutdown -g noww
Sorry, user heinrich is not allowed to execute '/sbin/shutdown -g noww' as root on svetlana.matthias.uccnet.de.
heinrich@svetlana:/home/matthias$

Das now habe ich absichtlich so geschrieben, und den Fehler zu provozieren.

Und wie passt das zu deiner Aussage @Habakug

pinfo sudoers hat geschrieben: john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*
On the ALPHA machines, user john may su to anyone except root but he is not allowed to give su(1) any
flags.

Beitrag von **habakug** » 26.08.2010 20:27:17

Hallo!

@kbdcalls

Dein Posting oben klang so, als sei "shutdown -r now" der einzig "richtige" Eintrag in sudoers. Würde dort "/sbin/shutdown" stehen, würde nämlich nur eine Hilfe ausgegeben werden.
Ja, man kann für ein Programm Parameter angeben, wenn das Programm nur auf diese Art ausgeführt werden soll. Im Falle von "shutdown" finde ich es praktischer, wenn z.B. auch ein "shutdown -r now" möglich ist, wie es auch in der inittab in modifizierter Form zu finden ist:

Code: Alles auswählen

# What to do when CTRL-ALT-DEL is pressed.
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

Ich wollte dir nicht auf die Füße treten, sondern nur zum Verständnis des Aufbaus und der Verwendung der Datei "sudoers" beitragen. Das Parameter nicht in die sudoers "gehören" war wohl etwas mißverständlich formuliert. Sorry, wenn ich hier mal wieder für Verwirrung sorge.

Gruß, habakug

debianforum.de

sudo will bei mir nicht

sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht

Re: sudo will bei mir nicht