* [sisyphus] poweroff и reboot от юзера.
@ 2003-03-18 22:05 "Алексей Любимов"
2003-03-18 22:11 ` Dmitry V. Levin
0 siblings, 1 reply; 5+ messages in thread
From: "Алексей Любимов" @ 2003-03-18 22:05 UTC (permalink / raw)
To: sisyphus; +Cc: gnome-users
Так все таки, какие есть варианты для раздачи юзерам прав на poweroff и reboot?
Без паролей и вообще интерактива. Или у юзера есть право выключить компьютер, или нет.
Если команды используются *-session, то диалог, наверное, неуместен.
Я пока нарыл два варианта:
1) Опция -а shutdown
Вставляем всех нужных пользователей в файл /etc/shutdown.allow
и пользуемся командами
/sbin/shutdown -ha now
/sbin/shutdown -ra now
Неплохо, потому что используется инструмент быстрого назначения и убирания прав на данные операции. Кроме того, идет контроль присутствия пользователей на выключаемой сашине.
Плохо, потому что я так понял, выключаться питение не будет, как при /sbin/poweroff.
Еще плохо, что изменяется стандартная команда. То есть придется настраивать все программы, которые хотя выключать компьютер.
2) sudo
Добавляем в /etc/sudoers что то типа
user /sbin/poweroff=NOPASSWD: ALL
user /sbin/reboot=NOPASSWD: ALL
и пользуемся стандартными sudo /sbin/reboot и sudo /sbin/poweroff
Опять приходится менять настройки в приложениях, но хотя бы работает, как надо. Да и sudo позволяет задать права наиболее гибким образом.
Что то непонятное есть в /etc/security/apps/reboot и poweroff
Вроде бы то, что нужно, потому что теоретически можно дать право на выключение машины командами /sbin/poweroff и /sbin/reboot. Тогда не нужно ничего менять в настройках *-session.
Достаточно поместить юзеров в нужную группу и все заработает. Но по моему, это вариант давно уже нерабочий.
Остается только понять, как рещить эту проблему и какие настройки должны быть в программах, выключающих комп. Если команды выключения комп. меняются со стандартных /sbin/poweroff и /sbin/reboot на что либо другое, значит нужно написать враппер и договорится, где он будет лежать и как называться, чтобы прописать его в доке и не морочить себе голову проблемой, как выключить компьютер напрямую из гнома.
К примеру, в gnome-session эти настройки указываются на этапе компиляции. Пока я просто пересобрал gnome
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] poweroff и reboot от юзера.
2003-03-18 22:05 [sisyphus] poweroff и reboot от юзера "Алексей Любимов"
@ 2003-03-18 22:11 ` Dmitry V. Levin
2003-03-18 23:06 ` "Алексей Любимов"
0 siblings, 1 reply; 5+ messages in thread
From: Dmitry V. Levin @ 2003-03-18 22:11 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 2230 bytes --]
On Wed, Mar 19, 2003 at 01:05:53AM +0300, "Алексей Любимов" wrote:
> Так все таки, какие есть варианты для раздачи юзерам прав на poweroff и reboot?
> Без паролей и вообще интерактива. Или у юзера есть право выключить компьютер, или нет.
> Если команды используются *-session, то диалог, наверное, неуместен.
>
> Я пока нарыл два варианта:
>
> 1) Опция -а shutdown
>
> Вставляем всех нужных пользователей в файл /etc/shutdown.allow
> и пользуемся командами
> /sbin/shutdown -ha now
> /sbin/shutdown -ra now
>
> Неплохо, потому что используется инструмент быстрого назначения и убирания прав на данные операции. Кроме того, идет контроль присутствия пользователей на выключаемой сашине.
>
> Плохо, потому что я так понял, выключаться питение не будет, как при /sbin/poweroff.
> Еще плохо, что изменяется стандартная команда. То есть придется настраивать все программы, которые хотя выключать компьютер.
И как, интересно, /sbin/shutdown из-под пользователя выключит машину?
Шутите?
> 2) sudo
>
> Добавляем в /etc/sudoers что то типа
>
> user /sbin/poweroff=NOPASSWD: ALL
> user /sbin/reboot=NOPASSWD: ALL
>
> и пользуемся стандартными sudo /sbin/reboot и sudo /sbin/poweroff
>
> Опять приходится менять настройки в приложениях, но хотя бы работает, как надо. Да и sudo позволяет задать права наиболее гибким образом.
> Что то непонятное есть в /etc/security/apps/reboot и poweroff
>
> Вроде бы то, что нужно, потому что теоретически можно дать право на выключение машины командами /sbin/poweroff и /sbin/reboot. Тогда не нужно ничего менять в настройках *-session.
> Достаточно поместить юзеров в нужную группу и все заработает. Но по моему, это вариант давно уже нерабочий.
>
> Остается только понять, как рещить эту проблему и какие настройки должны быть в программах, выключающих комп. Если команды выключения комп. меняются со стандартных /sbin/poweroff и /sbin/reboot на что либо другое, значит нужно написать враппер и договорится, где он будет лежать и как называться, чтобы прописать его в доке и не морочить себе голову проблемой, как выключить компьютер напрямую из гнома.
Что это за новые чудеса? Неужели они работают?
Вообще-то есть ещё пакет SysVinit-usermode.
P.S. mailing list mismatch.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] poweroff и reboot от юзера.
2003-03-18 22:11 ` Dmitry V. Levin
@ 2003-03-18 23:06 ` "Алексей Любимов"
2003-03-19 10:33 ` Dmitry V. Levin
0 siblings, 1 reply; 5+ messages in thread
From: "Алексей Любимов" @ 2003-03-18 23:06 UTC (permalink / raw)
To: sisyphus
> > Плохо, потому что я так понял, выключаться питение не будет, как при /sbin/poweroff.
> > Еще плохо, что изменяется стандартная команда. То есть придется настраивать все программы, которые хотя выключать компьютер.
>
> И как, интересно, /sbin/shutdown из-под пользователя выключит машину?
> Шутите?
нет.
If shutdown is called with the -a argument (add this to the invocation of
shutdown in /etc/inittab), it checks to see if the file /etc/shut-
down.allow is present. It then compares the login names in that file
with the list of people that are logged in on a virtual console (from
/var/run/utmp). Only if one of those authorized users or root is logged
in, it will proceed. Otherwise it will write the message
shutdown: no authorized users logged in
to the (physical) system console. The format of /etc/shutdown.allow is
one user name per line. Empty lines and comment lines (prefixed by a #)
are allowed. Currently there is a limit of 32 users in this file.
Note that if /etc/shutdown.allow is not present, the -a argument is
ignored.
я так понимаю, на нем должен стоять suid в таком варианте.
> > Остается только понять, как рещить эту проблему и какие настройки должны быть в программах, выключающих комп. Если команды выключения комп. меняются со стандартных /sbin/poweroff и /sbin/reboot на что либо другое, значит нужно написать враппер и договорится, где он будет лежать и как называться, чтобы прописать его в доке и не морочить себе голову проблемой, как выключить компьютер напрямую из гнома.
>
> Что это за новые чудеса? Неужели они работают?
кто они? у меня гном2 и рокс выключают компьютер, как положено, без перехода в gdm.
Но gnome-session пришлось пеесобрать, благо это несложно.
>
> Вообще-то есть ещё пакет SysVinit-usermode.
смотрел я на него. Какая то странная вещь. Как ее использовать я так и не понял.
>
> P.S. mailing list mismatch.
я вообще то целился на исправление gnome-session в сизифе.
вызывать sudo /sbin/poweroff как то неправильно имхо.
Нужно хотя бы проверить uid (может это рут), проверить возможность вызова sudo, другие варианты, если не сработает и положить такой враппер вместо /sbin/poweroff в идеале (если ничего ломаться не будет), чтобы эта функция работала для тех, кому она разрешена.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] poweroff и reboot от юзера.
2003-03-18 23:06 ` "Алексей Любимов"
@ 2003-03-19 10:33 ` Dmitry V. Levin
2003-03-19 14:32 ` Alexey V. Lubimov
0 siblings, 1 reply; 5+ messages in thread
From: Dmitry V. Levin @ 2003-03-19 10:33 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 2198 bytes --]
On Wed, Mar 19, 2003 at 02:06:23AM +0300, "Алексей Любимов" wrote:
> > > Плохо, потому что я так понял, выключаться питение не будет, как при /sbin/poweroff.
> > > Еще плохо, что изменяется стандартная команда. То есть придется настраивать все программы, которые хотя выключать компьютер.
> >
> > И как, интересно, /sbin/shutdown из-под пользователя выключит машину?
> > Шутите?
>
> нет.
>
> If shutdown is called with the -a argument (add this to the invocation of
> shutdown in /etc/inittab), it checks to see if the file /etc/shut-
> down.allow is present. It then compares the login names in that file
> with the list of people that are logged in on a virtual console (from
> /var/run/utmp). Only if one of those authorized users or root is logged
> in, it will proceed. Otherwise it will write the message
>
> shutdown: no authorized users logged in
>
> to the (physical) system console. The format of /etc/shutdown.allow is
> one user name per line. Empty lines and comment lines (prefixed by a #)
> are allowed. Currently there is a limit of 32 users in this file.
>
> Note that if /etc/shutdown.allow is not present, the -a argument is
> ignored.
>
> я так понимаю, на нем должен стоять suid в таком варианте.
Ну вы же не станете так делать, верно?
> > > Остается только понять, как рещить эту проблему и какие настройки должны быть в программах, выключающих комп. Если команды выключения комп. меняются со стандартных /sbin/poweroff и /sbin/reboot на что либо другое, значит нужно написать враппер и договорится, где он будет лежать и как называться, чтобы прописать его в доке и не морочить себе голову проблемой, как выключить компьютер напрямую из гнома.
> >
> > Что это за новые чудеса? Неужели они работают?
>
> кто они? у меня гном2 и рокс выключают компьютер, как положено, без перехода в gdm.
> Но gnome-session пришлось пеесобрать, благо это несложно.
Посредством какой привилегированной программы?
> > Вообще-то есть ещё пакет SysVinit-usermode.
>
> смотрел я на него. Какая то странная вещь. Как ее использовать я так и не понял.
Ставите и используете.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] poweroff и reboot от юзера.
2003-03-19 10:33 ` Dmitry V. Levin
@ 2003-03-19 14:32 ` Alexey V. Lubimov
0 siblings, 0 replies; 5+ messages in thread
From: Alexey V. Lubimov @ 2003-03-19 14:32 UTC (permalink / raw)
To: sisyphus
> > я так понимаю, на нем должен стоять suid в таком варианте.
>
> Ну вы же не станете так делать, верно?
да уж не хочется.
> > > Что это за новые чудеса? Неужели они работают?
> >
> > кто они? у меня гном2 и рокс выключают компьютер, как положено, без перехода в gdm.
> > Но gnome-session пришлось пеесобрать, благо это несложно.
>
> Посредством какой привилегированной программы?
sudo
положил в /usr/bin скриптики poweroff и reboot с содержимым вида:
#!/bin/sh
sudo -x /sbin/poweroff
и пересобрал gnome-session c этими командами.
И все таки хотелось бы один раз написать такой враппер (с проверками) и сделать его для всех, потому что аналогичные проблемы есть во всех менеджерах и хотелось бы иметь в дистре решение этой проблемы.
>
> > > Вообще-то есть ещё пакет SysVinit-usermode.
> >
> > смотрел я на него. Какая то странная вещь. Как ее использовать я так и не понял.
>
> Ставите и используете.
не получилось. но с этим ладно.
--
С уважением, Алексей Любимов avl@cad.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-03-19 14:32 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-03-18 22:05 [sisyphus] poweroff и reboot от юзера "Алексей Любимов"
2003-03-18 22:11 ` Dmitry V. Levin
2003-03-18 23:06 ` "Алексей Любимов"
2003-03-19 10:33 ` Dmitry V. Levin
2003-03-19 14:32 ` Alexey V. Lubimov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git