From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Dmitry V. Levin" To: ALT Linux Spring mailing list Message-ID: <20020313180107.GA10927@ldv.office.alt-linux.org> Mail-Followup-To: "Dmitry V. Levin" , ALT Linux Spring mailing list References: <495301c1ca79$06601be0$0c01a8c0@debut.ru> <007801c1ca7a$a8bd1770$650110ac@local.net> <497901c1ca82$ae807d20$0c01a8c0@debut.ru> <20020313115135.GA973@ifirst.ru> <9213023086.20020313162303@otstavnov.com> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="xHFwDpU9dbj6ez1V" Content-Disposition: inline In-Reply-To: <9213023086.20020313162303@otstavnov.com> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Subject: [mdk-re] Re: sudoers (was: =?koi8-r?B?68HLIMTPwsHX?= =?koi8-r?B?ydTY?= reiserfs?) Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Wed Mar 13 20:48:03 2002 X-Original-Date: Wed, 13 Mar 2002 21:01:07 +0300 Archived-At: List-Archive: List-Post: --xHFwDpU9dbj6ez1V Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Wed, Mar 13, 2002 at 04:23:03PM +0300, Maksim Otstavnov wrote: > >> > > сегодня столкнулся с такой вещью: когда пытаюсь рестартануть postfix или > >> ipchains не из под рута, > >> > > получаю "..... is reserved for the super ....". > >> > > > >> > > Подскажите, пожалуйста, где искать. Уж точно не в письмах на тему "Как добавить reiserfs?". > >> > В любой книге по азам администрирования Unix/Linux. > AKJ> Это именно _администрирование_ системы, а значит, прерогатива root'a aka > AKJ> superuser. > > Но ответ был неправильным, т.к. на сегодня "корректный" способ > выполнения отдельных административных действий пользователем зависит > от концепции конкретной ОС и даже конкретного дистрибутива. > > Если бы мне нужно было регулярно выполнять такие действия, я бы 1) > создал в restricted shell скрипт, 2) принадлежащий пользователю root и > вновь созданной группе restarters, 3) поставил бы ему SUID-бит, 4) > разрешил бы исполнение членам группы и 5) внес бы в эту группу всех > пользователей, которым нужно выполнять такие действия. Ага, а злобный cracker запустил бы этот скрипт в таком environment'е, что получился бы restarters->root. > Но это BSD-шный спинномозговой опыт, и что-то мне подсказывает, что в > ALT Linux это "некошерно" и стОит использовать sudoers или что-то > рядом. Если необходимо делегировать (рутовые) права на определенные ресурсы, например, запуск определенных приложений в определенном контексте, то лучше всего для этого приспособлен sudo(8). Хотя бы потому, что он реализует пункты 1)-5) заведомо не хуже, чем это сделал бы Максим. Про необходимые в этом случае меры предосторожности см. sudoers(5). Если не найдете, спрашивайте - вам ответят. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. --xHFwDpU9dbj6ez1V Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE8j5Pj9viEa8HiNCkRAuJ/AJ9jCFYwme3fIIAd201zuaNP6qz7FgCfUpQ3 UOMdcAj7ClqzM5Kv0/9lvFs= =GUeD -----END PGP SIGNATURE----- --xHFwDpU9dbj6ez1V--