Как разрешить пользователям запускать скрипт с правами root?

Question

Как разрешить пользователям запускать скрипт с правами root?

учитывая опасности сценариев оболочки SUID, есть ли более безопасный способ предоставления доступа без пароля к скриптам (bash, PHP) с правами root в Linux?

(Ubuntu 8.10)

7

linux passwords scripting security ubuntu

автор: henkebenke

9 ответов

автор: frankodwyer · Accepted Answer · 2008-12-29 12:25:18

вы могли бы рассмотреть судо.

хотя не беспарольный, она не требует от пользователя иметь пароль. Он также может предоставить аудиторский след использования скрипта.

edit: согласно комментарию Криса, есть возможность не требовать пароль для определенных команд, см. здесь для сведения. Его также можно настроить, чтобы не запрашивать чрезмерно пароль, т. е. одна запись пароля может быть хороша для несколько команд за период использования.

кстати, sudo встроен в Ubuntu и хорошо интегрирован с Gnome. Когда ubuntu запрашивает ваш пароль для выполнения привилегированных операций, это sudo под капотом.

автор: Yuval Adam · Accepted Answer · 2017-02-08 14:07:54

alt text

15

автор: Yuval Adam

автор: Caleb Groom · Accepted Answer · 2008-12-30 09:06:13

обязательно просмотрите " ПРЕДОТВРАЩЕНИЕ ПОБЕГА ОБОЛОЧКИ " раздел справочной страницы sudoers, если вы идете по маршруту sudo.

автор: Chris Jester-Young · Accepted Answer · 2008-12-29 12:11:20

Я бы порекомендовал судо. Обязательно затяните свой sudoers файл соответствующим образом; и да, вы можете разрешить выполнение некоторых команд без запроса пароля.

автор: Kim Stebel · Accepted Answer · 2008-12-29 12:32:05

настройка sudo, позволяющая обычным пользователям запускать скрипты оболочки с повышенными привилегиями, не лучше с точки зрения безопасности, чем создание корня suid скрипта. Все ловушки еще существуют. Вместо этого вы должны написать правильную программу, которая делает обширные проверки безопасности. Некоторые моменты для рассмотрения:

Не пишите на C, вы застрелитесь в обе ноги.

проверить все входы.

Drop привилегии как можно скорее.

держать его коротким.

автор: csl · Accepted Answer · 2008-12-29 12:23:45

с судо уже упоминалось, вы можете рассмотреть различные изолированные среды, в зависимости от ваших потребностей - например, тюрьмы или аналогичные.

автор: Paweł Hajdan · Accepted Answer · 2008-12-30 14:59:02

для действительно тяжелого решения рассмотрим систему MAC (обязательного контроля доступа), такую как SELinux, AppArmor, TrustedBSD и т. д.

автор: starblue · Accepted Answer · 2009-05-06 17:58:14

чтобы улучшить безопасность, подумайте, Можно ли выполнить операцию как специальный пользователь или группа, которая имеет именно необходимые для этого права доступа. Затем вы можете создать скрипт setuid / setgid для этого пользователя или группы.

автор: John Allsup · Accepted Answer · 2013-10-23 11:21:10

Если прецедент-это машина, работающая под VirtualBox, и безопасность на самом деле не проблема, вам просто нужен световой барьер, чтобы предотвратить стрельбу в ногу, что тогда? (Тогда аргументы безопасности на самом деле не имеют смысла, поскольку не имеет значения, скомпрометирована ли машина посторонним, который все равно не может ее видеть из-за того, как VirtualBox изолирует ее через NAT.)