Limitare i comandi a un utente

Discussione:

(troppo vecchio per rispondere)

Gabriele Caniglia

2006-04-26 16:20:08 UTC

Ciao lista,

è possibile fare in modo che un utente possa solo eseguire per esempio

/sbin/reboot
/sbin/shutdown -h now

e null'altro?
Vorrei che anche senza sudo non potesse nemmeno starnutire! :-))

Mi date una dritta?

P.S:: Parlo di accesso a linea di comando, nessuna interfaccia grafica
installata.

Grazie 1000.
--
Gabriele

--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org

Leonardo Canducci

2006-04-26 16:50:09 UTC

Permalink

Post by Gabriele Caniglia
Ciao lista,
è possibile fare in modo che un utente possa solo eseguire per esempio
/sbin/reboot
/sbin/shutdown -h now

visudo
utentesfigato ALL=(ALL) NOPASSWD: /sbin/shutdown

man sudoers
--
Leonardo Canducci
GPG Key ID: AC0F8801

Gabriele

2006-04-28 08:10:16 UTC

Permalink

Post by Leonardo Canducci

Post by Gabriele Caniglia
Ciao lista,
è possibile fare in modo che un utente possa solo eseguire per esempio
/sbin/reboot
/sbin/shutdown -h now

visudo
utentesfigato ALL=(ALL) NOPASSWD: /sbin/shutdown
man sudoers

Ma utentesfigato può eseguire altri comandi anche senza sudo, giusto?
Io vorrei evitare anche quello: nessun comando (con o senza sudo),
tranne quelli che dico io.

Si può fare?
--
Gabriele

Gabriele Pongelli

2006-04-28 11:20:26 UTC

Permalink

Post by Gabriele Caniglia
Ciao lista,
è possibile fare in modo che un utente possa solo eseguire per esempio
/sbin/reboot
/sbin/shutdown -h now

crei un gruppo per l'utente sfigato e setti i permessi di esecuzione su
reboot e shutdown in modo che il gruppo possa eseguire i comandi dalla shell
;-) (non so se serve anche il bit suid per eseguire reboot e shutdown)....
in questo modo puoi aggiungere sbin al loro path ma non dai i permessi di
esecuzione agli altri programmi contenuti sempre in sbin...

saluti!

_________________________________________________________________
Blocca le pop-up pubblicitarie con MSN Toolbar! http://toolbar.msn.it/

Maxx

2006-04-28 15:01:42 UTC

Permalink

Post by Gabriele Pongelli

Post by Gabriele Caniglia
Ciao lista,
è possibile fare in modo che un utente possa solo eseguire per esempio
/sbin/reboot
/sbin/shutdown -h now

crei un gruppo per l'utente sfigato e setti i permessi di esecuzione su
reboot e shutdown in modo che il gruppo possa eseguire i comandi dalla
shell ;-) (non so se serve anche il bit suid per eseguire reboot e
shutdown).... in questo modo puoi aggiungere sbin al loro path ma non
dai i permessi di esecuzione agli altri programmi contenuti sempre in
sbin...

Altrimenti, se vuoi essere più flessibile, potresti aver bisogno di
giocare con restricted shell, chroot e magari anche acl.

Domanda: che tipo è l'utentesfigato? È un povero luser a cui non vuoi
concedere comandi perché può *accidentalmente* fare danni, o un
possibile àcher che *intenzionalmente* potrebbe rivelarsi pericoloso?

Maxx

Gabriele

2006-04-28 17:00:29 UTC

Permalink

Post by Maxx
Altrimenti, se vuoi essere più flessibile, potresti aver bisogno di
giocare con restricted shell, chroot e magari anche acl.

Uhmm... devo studiare allora, non ho idea di come fare...

Post by Maxx
Domanda: che tipo è l'utentesfigato? È un povero luser a cui non vuoi
concedere comandi perché può *accidentalmente* fare danni, o un
possibile àcher che *intenzionalmente* potrebbe rivelarsi pericoloso?

La seconda che hai detto! :-))
--
Gabriele

Maxx

2006-04-28 19:00:17 UTC

Permalink

Post by Gabriele

Post by Maxx
Altrimenti, se vuoi essere più flessibile, potresti aver bisogno di
giocare con restricted shell, chroot e magari anche acl.

Uhmm... devo studiare allora, non ho idea di come fare...

La seconda che hai detto! :-))

Hmm... allora ci devi lavorare un po' su, perche a mio parere il caso è
rognoso :-)
Su Securing Debian Manual nella sezione TODO c'è un link ad un documento
securityfocus ("Restricting UNIX users") che da' qualche spunto al
proposito.
Leggendolo, forse una possibilità nel tuo caso è usare pdmenu, che se ho
capito bene, presenta a schermo il menu degli unici comandi possibili.
Scegliendo con accortezza i comandi (p.es. niente bash :-), e nel caso
facendoli girare sotto chroot, credo che tu possa avere qualcosa di
flessibile e ragionevolmente sicuro.

Maxx

Maxx

2006-04-26 20:20:09 UTC

Permalink

Post by Gabriele Caniglia
Ciao lista,
è possibile fare in modo che un utente possa solo eseguire per esempio
/sbin/reboot
/sbin/shutdown -h now
e null'altro?
Vorrei che anche senza sudo non potesse nemmeno starnutire! :-))

Niente comandi neanche come utente normale?
Beh, allora perché a questo punto non crei due utenti "reboot" e
"shutdown" (o "riavvia" e "spegni", fai tu) che hanno come shell
i comandi di cui sopra?
In questo modo non appena la password è digitata la macchina inizia
la procedura di shutdown (e i tuoi poco affidabili operatori non
devono neanche ricordarsi che comandi digitare ;-)

Ciao
--
Maxx

Gabriele

2006-04-28 08:10:14 UTC

Permalink

Post by Maxx
Niente comandi neanche come utente normale?
Beh, allora perché a questo punto non crei due utenti "reboot" e
"shutdown" (o "riavvia" e "spegni", fai tu) che hanno come shell
i comandi di cui sopra?
In questo modo non appena la password è digitata la macchina inizia
la procedura di shutdown (e i tuoi poco affidabili operatori non
devono neanche ricordarsi che comandi digitare ;-)

E' già un'idea! :-)
Anche se poi per ogni comando in più che decido di concedere devo creare
un nuovo utente... :-/

Grazie intanto!
--
Gabriele