debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

sudo-Befehl permanent im aktiven Zustand belassen

https://debianforum.de/forum/viewtopic.php?t=151545

Seite 1 von 1

sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 17:08:48
von bumer
Hallo,

Es geht darum, dass ich mit
sudo tail -f /var/log/irgendeinelogdatei
die entsprechende Log-Datei geöffnet und im aktiven Zustand belassen möchte, so dass der Befehl praktisch weiterläuft, bis ich ihn abbreche.

Stellt das ein Sicherheitsrisiko dar, wenn man in einer Konsole eine sudo-Aktivität permanent laufen lässt? Also ich denke eher nicht, da sich sudo ja ausschließlich und nur auf den einen expliziten tail-Befehl bezieht, dennoch frage ich hier vorsichtshalber mal nach.

Viele Grüße,
bumer

Re: sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 17:15:39
von reba
sudo hat ne "Lebensdauer" von 15 Minuten! Ob man das ändern kann, weiß ich nicht.
Ich würde Debianscreen oder Debiantmux benutzen, den Prozeß mit Hilfe von su starten-

Re: sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 17:43:09
von cronoik
Ich halte es für kein Risiko. Lange Ticketzeiten sind eines.
@reba: Die Lebensdauer (also ob gültiges sudo-Ticket oder nicht) ist doch nur (?) beim Starten eines Programms relevant. Wenn tails einmal läuft, dann läuft es doch. Die Ticketzeit kann man übrigens beliebig anpassen [1]

[1] http://wiki.ubuntuusers.de/sudo/Konfigu ... r-auf-Zeit

Re: sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 18:18:26
von bumer
cronoik hat geschrieben:Ich halte es für kein Risiko. Lange Ticketzeiten sind eines.
Mit langen Ticketzeiten meinst du wahrscheinlich, die "Lebensdauer" eines sudo-Aufrufes. Ich werde den Timeout-Wert auf 0 setzen. Erscheint mir sicherer, da ich die 15 Min nie wirklich ausnutze und sudo nur für einmalige Aufrufe nutze.
cronoik hat geschrieben:Wenn tails einmal läuft, dann läuft es doch.
Das kann ich so bestätigen.

Re: sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 18:29:36
von wanne
Mal ganz dumme Frage: Willst du dem User nicht einfach Leserechte auf die Logdatei geben? Die hat er jetzt über proc ja sowieso.

Re: sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 18:52:06
von bumer
wanne hat geschrieben:Mal ganz dumme Frage: Willst du dem User nicht einfach Leserechte auf die Logdatei geben? Die hat er jetzt über proc ja sowieso.
Ich müsste die Datei für alle lesbar machen, oder den "normalen" User der Gruppe adm hinzufügen - letzteres ist nicht besonders vorteilhaft, aber mal 'ne dumme Frage zurück: Kann ich einem bestimmten User Leserechte auf eine einzige bestimmte Datei geben?

Re: sudo-Befehl permanent im aktiven Zustand belassen

Verfasst: 28.09.2014 19:01:17
von catdog2
aber mal 'ne dumme Frage zurück: Kann ich einem bestimmten User Leserechte auf eine einzige bestimmte Datei geben?
Mit ACLs ja (setfacl, getfacl, man acl).
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/