Rechte abgeben

[michas]

Passt nicht so ganz in die Kategorie, hab aber nix besseres gefunden.

Hi zusammen,

Wir hatten letztens ein kleines Problem diskutiert und sind auf keine richtige Lösung gestoßen. Vielleicht fällt ja hier jemanden was dazu ein:

Folgende Situation: Ein Rechner. Darauf (u.a.) 2 Nutzer A und B.
A möchte jetzt (warumauchimmer) das B beliebige Programme unter seinem Namen ausführen darf. Sein Passwort will er B aber nicht verraten. (z.B. damit dieser es nicht ändern kann.)
Höhere Macht (aka root) soll außenvor bleiben. (sudo steht also z.B. nicht zur Auswahl.)

Frage: Ist das irgendwie möglich? (evt. Seiteneffekte, das z.B. das dann evt. auch ander User Programme mit diesen Rechten starten könnten seien jetzt erstmal egal.)

Meine Idee war eigentlich, das A eine Bash ins sein Home-Verzeichniss kopiert und sie SUI setzt. Allerdings mag eine bash kein SUI und setzt die effektive UI immer wieder auf die reelle zurück.

Sonstige Ideen, Vorschläge?

(vonmiraus kann das Problem auch irgendwie programmiertechnisch gelöst werden, da es mir nur um die prinzipielle Machbarkeit geht.)

[zyta2k]

Evt. mittels dem StickyBit ?!

[Six]

Wenn mich nicht alles täuscht, dann hat jeder User hat auch eine Group. adduser b a sollte es daher tun.

verschieb...

[michas]

"sticky bit" ist das sui was ich bereits erwähnte.

adduser setzt wieder das einsetzen von rootrechten vorraus.
auserdem hat ein sgi die selben Probleme wie das erwähnte sui.

Jaja, kniffelige Aufgabe. aber sollte doch irgendwie machbar sein, oder?

[alo]

Fällt dieses Problem nicht zufällig unter die unzureichende Rechtevergabe von Linux-Systemen, woraufhin der Kernelpatch mit ACLs entwickelt wurde?
Die ct hat vor ein paar Ausgaben darüber berichtet.
Ich habs allerdings nicht gelesen und weiss deshalb auch nicht, ob Dich das ohne root-Rechte weiterbringt, aber das fiel mir gerad so ein...

Gut bewacht
Access Control Lists in modernen Dateisystemen
Praxis,Linux: Access Control Lists,ACL, ACE, Access Control List, EA, Extended Attribute, setfacl, getfacl
c't 23/03, Seite 218

[Six]

"sticky bit" ist das sui was ich bereits erwähnte.

adduser setzt wieder das einsetzen von rootrechten vorraus.
auserdem hat ein sgi die selben Probleme wie das erwähnte sui.

Jaja, kniffelige Aufgabe. aber sollte doch irgendwie machbar sein, oder?

Ach so, da habe ich dich falsch verstanden. Es sollen bei keinem Schritt root-Rechte nötig sein. Tja, da weiß ich auch nicht weiter. Höchstens die Rechte für "others" verändern, aber dann hat direkt jeder Zugriff

[tylerD]

Etwas OT:
Ist ja eigentlich kurios, das WinXP/2003 in der Normalinstallation ein komplexer und abgestufteres Benutzer/Rechtesystem als die meisten Linuxe/Unixe in der Normalinstallation.
Leider kann man dies praktisch viel schlechter Anwenden weil einfach viele Applikationen nicht auf diesen Mehrbenutzer abgestimmt sind. In der nix-Welt ist das halt historisch gewachsene Normalität.

cu

[michas]

Höchstens die Rechte für "others" verändern, aber dann hat direkt jeder Zugriff

Also "jeder Zugriff" ist erstmal noch nicht das Problem.

Wie mich die Rechte für others weiterbringen können sehe ich aber grad nicht...

[Six]

Naja, Unix unterscheidet drei große Rechtebereiche:
Owner
Group
Other

"Owner" und "Group" dürften klar sein. "Other" sind der Rest. D. h. wenn du nicht "Owner" der Datei bist oder nicht zu der "Group" gehörst, die der Datei beigeordnet ist, dann bist du ein "other". Wenn der "Owner" "other" jetzt Rechte gibt (z. B. chmod o+rwx) , dann können alle, die zu "other" gehören, und das sind recht viele, mit diesen Rechten die Datei benutzen. Für näheres siehe man chmod

[Six]

Ich habe deine Ausgangsfrage nochmal gelesen und wenn ich dich recht verstehe, geht es garnicht darum, daß B Zugriff auf As Dateien hat, sondern du willst, daß B die Identität As annimmt, ohne sich als A anzumelden.

Ich weiß nicht, ob das geht. Und wenn ja, wäre es bestimmt eine Sicherheitslücke