Jak nastavit práva, abych mohl ukončit procesy spuštěné jiným uživatelem

[krmi74]

Jak nastavit práva, aby si mohli dva uživatelé ukončovat a spouštět vzájemně své procesy. Pokud je to tedy možné. Jeden z nich má práva,  jako sudo.

[Dr.Silenec]

Mno pokud znáš hesla k účtům tak sudo to celkem řeší si myslím..., kdy zadáš příkaz jako daný uživatel...

[jmp]

nejjednodussi je asi pridat i toho druheho do skupiny "admin"
pak bude moci to came jako ten prvni uzivatel...

[krmi74]

nejjednodussi je asi pridat i toho druheho do skupiny "admin"
pak bude moci to came jako ten prvni uzivatel...

Pokud nechci toho druhého uživatele přidávat do skupiny admin, tak to teda možné není? Nechci aby měl neomezený přístup. Jen možnost ukončovat a spouštět procesy uživatele prvního. I když je druhý přidán ve skupině s prvním, a mám možnost číst a spouštět scripty toho prvního, nejdou zastavit ani spustit, tedy některé. konkrétně to vypíše, že není povolen přístup do souboru port.pid a port.run.

[jmp]

jeste je tu moznost, ze pomoci "visudo" nalezite upravite "sudoers", kde dotycnemu umoznite pomoci "sudo" spusteni "ps" a "kill" pod rootem
nicmene si to jiz musite nastudovat...

EDIT: tak do toho sudoers musi byt vlozeno neco jako: "uzivatel ALL = (root) /bin/kill, /bin/ps" (to ps mozna neni nutne)

[Martin Šácha]

jeste je tu moznost, ze pomoci "visudo" nalezite upravite "sudoers", kde dotycnemu umoznite pomoci "sudo" spusteni "ps" a "kill" pod rootem
nicmene si to jiz musite nastudovat...

EDIT: tak do toho sudoers musi byt vlozeno neco jako: "uzivatel ALL = (root) /bin/kill, /bin/ps" (to ps mozna neni nutne)

Na konec souboru /etc/sudoers bude bezpečnější přidat "uzivatel localhost = (root) /bin/kill, /bin/ps"

[krmi74]

jeste je tu moznost, ze pomoci "visudo" nalezite upravite "sudoers", kde dotycnemu umoznite pomoci "sudo" spusteni "ps" a "kill" pod rootem
nicmene si to jiz musite nastudovat...

EDIT: tak do toho sudoers musi byt vlozeno neco jako: "uzivatel ALL = (root) /bin/kill, /bin/ps" (to ps mozna neni nutne)

Na konec souboru /etc/sudoers bude bezpečnější přidat "uzivatel localhost = (root) /bin/kill, /bin/ps"

Je mi jasné, že toto bude fungovat, pokud před script napíšu sudo (ale jen pro specifikované procesy). Je možné v sudoers to nastavit tak, aby druhý uživatel mohl spouštět a ukončovat procesy, scripty ad. jako uživatel první (který má ale práva jako admin), ale první uživatel je spouští jako uživatel (bez sudo), tak aby i druhý uživatel nemusel používat sudo.

[hama4tux]

Bože proč???

Když si přihlášen jako root, můžeš zabít co chceš...

[Martin Šácha]

Bože proč???

Když si přihlášen jako root, můžeš zabít co chceš...

Výchozí stav:
User 1 je root -> zabije co chce
User 2 neni root -> muze zabit jen sam sebe
User n neni root -> muze zabit jen sam sebe

Požadovaný stav:
User 1 je root -> zabije co chce
User 2 neni root -> muze zabit jen sam sebe + procesy usera 1
User n neni root -> muze zabit jen sam sebe

Jestli jsem to pochopil dobře??

[hama4tux]

Tak takle to alespon k nějaké základní bezpečnostní politice fungovat nemůže...

uživatel nikdy nikdy "nesmí" mít práva na to aby zabil procesy spuštěné rootem, bud je dotyčný člověk administrátor a má login na ucet ROOT a zabijesi jak chce co chce.

A nebo ten člověk nemá co v systému dělat.

[Martin Šácha]

Tak takle to alespon k nějaké základní bezpečnostní politice fungovat nemůže...

uživatel nikdy nikdy "nesmí" mít práva na to aby zabil procesy spuštěné rootem, bud je dotyčný člověk administrátor a má login na ucet ROOT a zabijesi jak chce co chce.

A nebo ten člověk nemá co v systému dělat.

Ne rootem, ale uživatelem s právem používat sudo.

[krmi74]

Bože proč???

Když si přihlášen jako root, můžeš zabít co chceš... To je mi jasné

Výchozí stav:
User 1 je root -> zabije co chce                    User 1 je admin, má možnost používat sudo nebo se přepnout na root
User 2 neni root -> muze zabit jen sam sebe     User 2 - nechci ani, aby měl možnost používat sudo a přepnout se na root
User n neni root -> muze zabit jen sam sebe    

Požadovaný stav:
User 1 je root -> zabije co chce
User 2 neni root -> muze zabit jen sam sebe + procesy usera 1    Je možnost, aby zabíjel procesy, ktere spustil user 1 (běží jako spuštěné user 1)
User n neni root -> muze zabit jen sam sebe

Jestli jsem to pochopil dobře??

Pochopil jste to správně, takže pokud to tak možné není je to jasné, mě by stačilo, kdyby byla možnost, aby user 2 mohl zabíjet, třeba jen přesně specifikované procesy, které spustil user 1

[MacHala]

lip nez pomoci sudo to podle me nepujde (i kdyz mozna nejaky guru by to zvladl s pomoci selinuxu, ale i tak by musel psat slozite policies)...

jeste bych trochu zmenil ten radek co tu byl navrhovan do /etc/sudoers na

Kód: [Vybrat]

uzivatel localhost = (druhyuzivatel) NOPASSWD:/bin/kill, /bin/killall, /bin/pkillsice bude potreba zadavat prikaz jako:

Kód: [Vybrat]

sudo -u druhyuzivatel kill 1337ale nebude ti killovat i aplikace jinych uzivatelu...