Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Права на запуск демона

3 views
Skip to first unread message

Andrei Yakovlev

unread,
Dec 20, 2010, 9:40:32 AM12/20/10
to
*Мир твоему дому, All!*


Есть ли кошерный способ дать права обычному пользователю (не root) запускать
один единственный демон из /etc/init.d и писать в один де единственный файл в
/etc не используя при этом selinux и прочую нечисть?

Я так понимаю запихать его в группу wheel и дать 774 права не даст результата?


*С уважением,* _Andrei Yakovlev_

Alexey Vissarionov

unread,
Dec 20, 2010, 7:43:12 AM12/20/10
to
������� ������� �����, Andrei!

20 Dec 2010 17:40:32, Andrei Yakovlev -> All:

AY> ���� �� �������� ������ ���� ����� �������� ������������ (�� root)
AY> ��������� ���� ������������ ����� �� /etc/init.d � ������ � ����
AY> �� ������������ ���� � /etc �� ��������� ��� ���� selinux � ������
AY> �������? � ��� ������� �������� ��� � ������ wheel � ���� 774 �����
AY> �� ���� ����������?

���� ����� ��������� ����� ��������� ��� ���������...

���� ������ �� �������� - ������ ����� ������� � ������� @reboot � crontab, �
���� ������� � ${HOME}


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ��� gremlin ��� ru; +vii-cmiii-ccxxix-lxxix-xlii

... �� ��������, ���� ���� ������� ������� - ��������, ���� �������

Eugene Grosbein

unread,
Dec 20, 2010, 10:53:10 AM12/20/10
to
20 дек 2010, понедельник, в 17:40 KRAT, Andrei Yakovlev написал(а):

AY> Есть ли кошерный способ дать права обычному пользователю (не root)
AY> запускать
AY> один единственный демон из /etc/init.d и писать в один де единственный
AY> файл в
AY> /etc не используя при этом selinux и прочую нечисть?
AY> Я так понимаю запихать его в группу wheel и дать 774 права не даст
AY> результата?

Зависит от демона. Если демону не требуются рутовые права, то и делать
ничего не надо - пусть запускает :-) Hу и писать в файл - как обычно,
сделать группу, в группу засунуть юзера и назначить её файлу и chmod g+w.
Или даже сделать юзера владельцем файла, по обстоятельствам.

Если же демон работает от рута, то я делаю через sudo - даю юзеру право
на выполнение команды от рута и в профиль ему alias command='sudo command'

Eugene
--
Кстати, повышать мощность ядерного реактора евреям по субботам тоже нельзя.
// XSU.USELESS.FAQ

Andrei Yakovlev

unread,
Dec 20, 2010, 11:17:18 AM12/20/10
to
*Мир твоему дому, Alexey!*


Было написано _Alexey Vissarionov_ для _Andrei Yakovlev_

AY>> Есть ли кошерный способ дать права обычному пользователю (не

AY>> root) запускать один единственный демон из /etc/init.d и писать в
AY>> один де единственный файл в /etc не используя при этом selinux и
AY>> прочую нечисть? Я так понимаю запихать его в группу wheel и дать
AY>> 774 права не даст результата?
AV> Сама мысль учудесить такую хренотень уже некошерна...
AV> Если совсем уж приперло - запуск можно сделать в строчке @reboot в
AV> crontab, а файл держать в ${HOME}

Hу обычно такие вещи я делаю через selinux
просто есть демон, он падла такой не умеет запускаться не от рута
а я вот думаю, что ему жирновато будет...

а ради одной службы городить selinux лень :)


*С уважением,* _Andrei Yakovlev_

Andrei Yakovlev

unread,
Dec 20, 2010, 12:01:10 PM12/20/10
to
*Мир твоему дому, Eugene!*


Было написано _Eugene Grosbein_ для _Andrei Yakovlev_


AY>> Есть ли кошерный способ дать права обычному пользователю (не

AY>> root) запускать один единственный демон из /etc/init.d и писать в
AY>> один де единственный файл в /etc не используя при этом selinux и
AY>> прочую нечисть? Я так понимаю запихать его в группу wheel и дать
AY>> 774 права не даст результата?

EG> Зависит от демона. Если демону не требуются рутовые права, то и делать
EG> ничего не надо - пусть запускает :-) Hу и писать в файл - как обычно,
EG> сделать группу, в группу засунуть юзера и назначить её файлу и chmod
EG> g+w. Или даже сделать юзера владельцем файла, по обстоятельствам.

EG> Если же демон работает от рута, то я делаю через sudo - даю юзеру
EG> право на выполнение команды от рута и в профиль ему alias
EG> command='sudo command'

Кстати, а это идея! Как же я про sudo-то забыл %)

*С уважением,* _Andrei Yakovlev_

Stas Degteff

unread,
Dec 20, 2010, 9:59:24 PM12/20/10
to
Hello Andrei!

20 Dec 10 20:01, you wrote to Eugene Grosbein:

AY>>> Есть ли кошерный способ дать права обычному пользователю (не
AY>>> root) запускать один единственный демон из /etc/init.d и писать в
AY>>> один де единственный файл в /etc не используя при этом selinux и
AY>>> прочую нечисть? Я так понимаю запихать его в группу wheel и дать
AY>>> 774 права не даст результата?

....

EG>> Если же демон работает от рута, то я делаю через sudo - даю юзеру
EG>> право на выполнение команды от рута и в профиль ему alias
EG>> command='sudo command'

AY> Кстати, а это идея! Как же я про sudo-то забыл %)

С sudo нужно быть очень аккуратным, чтобы пользователь не смог запустить ничего
другого.
Есть менее опасное средство: fakeroot:
====
stas@stas:~$ fakeroot /bin/bash
root@stas:~# echo $EUID
0
root@stas:~# exit
exit
====

Но fakeroot подменяет системные вызовы только для файловой системы.


Stas
Jabber-ID: grum...@grumbler.org
GPG key 0x72186DB9 (keyserver: hkp://wwwkeys.eu.pgp.net)

0 new messages