АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Пакет sudo

Читайте также:
  1. Допустимый длительный ток промышленной частоты однофазных токопроводов из шихтованного пакета алюминиевых прямоугольных шин
  2. Индивидуальный противохимический пакет ИПП-11
  3. Интегрированные пакеты
  4. Классификация пакетов прикладных программ (ППП)
  5. Наличие пищевых добавок в продуктах должно указываться на потребительск ой упаковке, этикетке, банке, пакете и в рецептуре.
  6. Обеспечение аутентичности IP-пакетов
  7. Опишите принцип работы оперативной памяти. Устройство памяти EDO DRAM. Пакетный режим чтения, схема синхронизации
  8. Опишите принцип работы оперативной памяти. Устройство памяти FPM DRAM. Пакетный режим чтения, схема синхронизации.
  9. Пакет libpgperl
  10. Пакет postgresql
  11. Пакет перевязочный индивидуальный модернизированный и пакет перевязочный модернизированный особый (ППИ-М и ППИ-МО)

На практиці часто виникає ситуація, коли для виконання своїх обов'язків деяким користувачам необхідно надати привілеї, які доступні звичайно тільки root'у. Існує кілька способів доступу до бюджету привілейованого користувача. Найпростіший з них - зареєструватися під іменем root. Але на жаль, вихід з власного бюджету і реєстрація в якості привілейованого користувача часто дуже незручні. Краще використовувати команду su. Будучи викликаною без аргументів, ця команда запросить вас ввести пароль привілейованого користувача, а потім запустить shell з відповідними правами. Привілеї цього інтерпретатора команд залишаються в силі до завершення його роботи.

З привілейованим користувальницьким доступом сполучені три проблеми: безмежні повноваження, відсутність обліку операцій, що виконуються, імовірність того, що під іменем root може працювати група користувачів. Оскільки повноваження привілейованого користувача розподілити не можна, то важко надати комусь можливість зняття резервних копій (що повинно робитися під ім’ям root), не даючи можливості вільної роботи в системі. Якщо ж бюджет root доступний групі користувачів, то ви і поняття не будете мати про того, хто їми користується і що робить.

Щоб вирішити ці проблеми, використовується програма sudo. Ця програма в якості аргументу приймає командний рядок, який підлягає виконанню з правами root. Команда sudo звертається до файлу /etc/sudoers, що містить список користувачів, що мають повноваження на її виконання, і перелік команд, які вони мають право виконувати на конкретній машині. Якщо команда, що пропонується, дозволена, sudo пропонує користувачеві ввести його власний пароль і виконує команду як root.

До спливання п'ятихвилинного періоду бездіяльності sudo можна виконувати інші sudo-команди, не вводячи пароля. Така міра - захист від тих користувачів з sudo-привілеями, які кидають свої термінали без нагляду.

Файл /etc/sudoers виглядає приблизно так:

# Host alias specification Host_Alias

HUB=houdini.rootgroup.com:\

REMOTE=merlin,kodiakthorn,spirit

Host_Alias MACHINES=kalkan,alpo,milkbones

Host_Alias SERVERS=houdini,merlin,kodiakthorn,spirit

# Command alias specification

Cmnd_Alias LPCS=/usr/etc/lpc,/usr/ucb/lprm

Cmnd_Alias SHELLS=/bin/sh,/bin/csh,/bin/tcsh

Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown

# User specification

Britt REMOTE=SHUTDOWN:ALL=LPCS

Robh ALL=ALL,!SHELLS

nieusma SERVERS=SHUTDOWN,/etc/reboot:\,HUB=ALL,!SHELLS

jill houdini.rootgroup.com=/etc/shutdown,MISC

markm HUB=ALL,!MISC,!/etc/shutdown,!/etc/halt

billp ALL=/usr/local/bin/top:MACHINES=SHELLS

davehieb merlin=ALL:SERVERS=/etc/halt:\

kodiakthorn=ALL

В цьому прикладі користувачеві britt дозволено виконувати програми /etc/halt, /etc/shutdown на машинах merlin, kodiakthorn і spirit. robh може виконувати які завгодно програми, крім перерахованих в макрозмінній SHELLS, на всіх машинах.

Що можуть робити користувачі jill, markm, billp і davehieb і на яких машинах, ви розкажете самі, вивчивши документацію по пакету sudo. Також в документації перераховані деякі додаткові можливості, які з'явились в цій програмі, наприклад, можливість виконання програми, що вказана, не від root'а, а від іншого користувача.

Для модифікації файлу /etc/sudoers використовується програма visudo, яка дозволяє редагувати цей файл, перевіряючи синтаксис заданих змін. Зверніть увагу, що всі команди в цьому файлі задаються з абсолютними шляхами, щоб попередити можливість виконання користувальницьких програм з тими ж іменами з правами root.

Крім виконання вказаних команд, sudo веде файл реєстрації виконаних команд, осіб, що їх викликали, каталогів, з яких викликались програми і час їх виклику.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.)