[Comm] sudo? Как разграничить доступ?

[Comm] sudo? Как разграничить доступ?

[Maxim Ivanov]

День добрый!

Прошу сильно не пинать, в манах смотрел, в рассылке искал, ни черта не 
нашел.
Если есть ссылка с дельной инструкцией - прошу дать.

Смысл вот в чем:
1) у меня сервера работают больше пяти лет (Alt Linux Master 2.4)
2) я тут один такой был
3) у меня появился помощник
4) ранее, если что было нужно - заходил и правил рутом
5) рутовый пароль не хочу говорить помощнику
6) помощнику нужен полный доступ к /usr/local/tomcat/ и возможность говорить
service tomcat stop
service tomcat start

Само собой, про sudo слышал. Все что удалось найти - совет - "настрой sudo".
Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
что-то иное нужно?
Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
Помогите, а?
_____________________
С уважением,
Максим Иванов

Re: [Comm] sudo? Как разграничить доступ?

[Yurkovsky Andrey]

Maxim Ivanov wrote:

> Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
> что-то иное нужно?
> Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
> Помогите, а?
Есть большая статья в трех частях "Как обойтись без прав root"
-- 
Yurkovsky Andrey

Re: [Comm] sudo? Как разграничить доступ?

[Maxim Ivanov]

Yurkovsky Andrey пишет:
> Maxim Ivanov wrote:
>
>   
>> Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
>> что-то иное нужно?
>> Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
>> Помогите, а?
>>     
> Есть большая статья в трех частях "Как обойтись без прав root"
>   
Спасибо!

Нашел:
http://core.nix.bofh.ru/docs/noroot1.htm
http://core.nix.bofh.ru/docs/noroot2.htm
http://core.nix.bofh.ru/docs/noroot3.htm

man sudoers читать совершенно невозможно:
явно писал программист. Вообще не понятно ничего :(

Re: [Comm] sudo? Как разграничить доступ?

[Yurkovsky Andrey]

Maxim Ivanov wrote:

> man sudoers читать совершенно невозможно:
> явно писал программист. Вообще не понятно ничего :(
> 
А вы еще статью не читали ;-) Хотя, если четсно, там очень доходчиво
написано, за что автору огромное спасибо... может даже его на
fresource.info можно было бы разместить, если политика партии позволяет.
-- 
Yurkovsky Andrey

Re: [Comm] sudo? Как разграничить доступ?

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 352 bytes --]

Twas brillig at 16:11:51 26.02.2008 UTC+02 when Yurkovsky Andrey did gyre and gimble:

 YA> может даже его на fresource.info можно было бы разместить, если
 YA> политика партии позволяет.

Ссылочки можно повесить. А статью - гм, копирайт.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] sudo? Как разграничить доступ?

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 449 bytes --]

Twas brillig at 20:16:35 26.02.2008 UTC+06 when Mikhail Gusarov did gyre and gimble:

 YA>> может даже его на fresource.info можно было бы разместить, если
 YA>> политика партии позволяет.

 MG> Ссылочки можно повесить. А статью - гм, копирайт.

Удокументировал на http://freesource.info/wiki/AltLinux/Releases/40/su

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] sudo? Как разграничить доступ?

[Maxim Ivanov]

Подскажите цель и смысл каталога
/etc/sudo.d

Поскольку ни в одном руководстве он не упоминается.
Вся настройка sudo сводится к редактированию
/etc/sudoers.
Так ли это?

Re: [Comm] sudo? Как разграничить доступ?

[Yura Kalinichenko]

[-- Attachment #1: Type: text/plain, Size: 858 bytes --]

Maxim Ivanov пишет:
> Подскажите цель и смысл каталога
> /etc/sudo.d
>   
Ну например удобно управлять элементами, зависящими от пакета. Скажем, 
для функционирования некоторого пакета требуется некоторый набор правил 
sudo. Правила записываются в отдельный файл и заворачиваются в *.rpm 
этого пакета. Т.о. правила будут устанавливаться/сноситься вместе с 
пакетом. Да и вообще удобнее функционально различные правила держать в 
отдельных мелких файлах, а не в одном (не к ночи будь помянут) реестре.
> Поскольку ни в одном руководстве он не упоминается.
> Вся настройка sudo сводится к редактированию
> /etc/sudoers.
> Так ли это?
>   
Не только. При простом ручном изменении /etc/sudoers правила не вступят 
в силу сразу после редактирования. Чтобы они активизировались - 
используйте команду visudo или создавайте правила в /etc/sudo.d

[-- Attachment #2: yuk.vcf --]
[-- Type: text/x-vcard, Size: 177 bytes --]

begin:vcard
fn:Yura Kalinichenko
n:Kalinichenko;Yura
email;internet:yuk@kalina.in.ua
tel;home:8-0432-465743
tel;cell:+38-067-5878302
x-mozilla-html:FALSE
version:2.1
end:vcard

Re: [Comm] sudo? Как разграничить доступ?

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 632 bytes --]

Twas brillig at 21:11:21 26.02.2008 UTC+02 when Yura Kalinichenko did gyre and gimble:

 YK> Не только. При простом ручном изменении /etc/sudoers правила не
 YK> вступят в силу сразу после редактирования. Чтобы они
 YK> активизировались - используйте команду visudo или создавайте
 YK> правила в /etc/sudo.d

Прекратите несть чушь, которую вы не проверили. Вы сбиваете с толку
остальных подписчиков.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] sudo? Как разграничить доступ?

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 495 bytes --]

On Tue, Feb 26, 2008 at 09:11:21PM +0200, Yura Kalinichenko wrote:
> Не только. При простом ручном изменении /etc/sudoers правила не вступят в 
> силу сразу после редактирования. Чтобы они активизировались - используйте 
> команду visudo или создавайте правила в /etc/sudo.d
Цитату.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Я набрался терпения, достаточного для того, чтобы при
необходимости собрать ещё несколько snapshot'ов make'а.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] sudo? Как разграничить доступ?

[Yura Kalinichenko]

[-- Attachment #1: Type: text/plain, Size: 2057 bytes --]

Mikhail Gusarov пишет:
> Twas brillig at 21:11:21 26.02.2008 UTC+02 when Yura Kalinichenko did gyre and gimble:
>
>  YK> Не только. При простом ручном изменении /etc/sudoers правила не
>  YK> вступят в силу сразу после редактирования. Чтобы они
>  YK> активизировались - используйте команду visudo или создавайте
>  YK> правила в /etc/sudo.d
>
> Прекратите несть чушь, которую вы не проверили. Вы сбиваете с толку
> остальных подписчиков.
Чтож, действительно дал маху: по крайней мере в современных Линуксах это 
не так. Подобное поведение имело место в каком-то другом Юниксе или 
ранних Линуксах, сейчас не вспомню где именно, т.к. очень уж много их 
прошло через руки. Фишка была в том, что visudo перекладывал 
/etc/sudoers после успешного синтаксического контроля в 
/var/spool/чего-то-там, и sudo использовал уже эту копию. Так что 
простите уж мой стариковский склероз, тем более что рекомендация-то 
отнюдь не вредная, поскольку существуют и другие достаточно веские 
причины, чтобы редактировать sudoers только с помощью visudo. Хотя таки 
да - вы имеете полное право редактировать этот файл с помощью sed или 
даже cat, равно как и не мыть руки перед едой, стоять под стрелой, а 
также переходить улицу на красный свет.

[-- Attachment #2: yuk.vcf --]
[-- Type: text/x-vcard, Size: 187 bytes --]

begin:vcard
fn:Yura Kalinichenko
n:Kalinichenko;Yura
email;internet:yuk@kalina.in.ua
tel;home:8-0432-465743
tel;cell:+38-067-5878302
x-mozilla-html:FALSE
version:2.1
end:vcard