Befehle ohne Passwort

[merenda]

Hi @all,

ich hab folgende Problemstellung. Ich muss einen Benuter XXX die Möglichkeit bieten, einen /bin/su - auf 3 verschiedene VerfahrensUser zu machen, ohne das der User XXX ein passwort eingeben muss.

Ich dachte mir, ich trag das im SUDO ein und somit kann bzw. darf das nur der Benutzer XXX machen. Nun ist das so, dass der benuter mit den 3 verschiedenen Verfahrensuser einen /bin/su - verfahrensuser1 -c "BEFEHL" absetzen möchte.

Nun habe ich das folgendermasen im sudo eingetragen:

sudo ein /bin/su - verfahrensuser1 -c *

Was denkt ihr, könnte dies zu einem Sicherheits Problem führen ? Wenn ja welchen ?

Danke schon mal im voraus.

Gruß

Merenda

[Kernel-Error]

Hi!

Hast du mal daran gedacht das ganze über ssh mit Zertifikaten zu machen?

So brauchst keinen usernamen und kein kennwort mehr angeben!

Habe das >>hier<< unter anderem beschrieben.

Oder hilft dir das nicht?

MFG

 

[merenda]

Hi,

danke erst mal für dein Post, leider nicht, weil ich auf diesen Maschienen kein SSH einsetzen darf. Das ist ein bisschen komplieziert zu erläutern.

Also mit dem Sudo funktioniert es aufjedenfall.

Aber die Frage ist nur, ob das zu Sicherheitslücken führen könnt ?!

Gruß

Merenda

[Johannes Buchner]

Also wenn ich das richtig verstanden habe, hast du keine Probleme mit der Realisierung (also keine Erklärung von mir hier), du willst nur wissen, ob das schlau ist.

Du musst dir klar werden, dass alle, die den Benutzer XXX verwenden, zu den 3 Benutzern mutieren können, sprich, du kannst nicht mehr sagen, wer welche Aktion wirklich ausgeführt hat.

Warum machst du überhaupt

sudo ein /bin/su - verfahrensuser1 -c *

und nicht

sudo -u <user> <command>

?

Außerdem würde ich nicht eine vollständige shell hergeben, sondern nur die benötigten Befehle freischalten (kommt auf deine Aufgabenstellung drauf an).

PS: Du solltest die Befehle absolut eintragen (z.B. /sbin/shutdown), damit nicht ein Programm in ~/bin/ dein Passwort klaut

[merenda]

Hi,

also das mit den Absoluten Befehle habe wollte ich auch einrichten, aber das geht nicht, die Brauchen eine volle shell.

Wie kann ich das einstellen

sudo -u <user> <command>

Das habe ich nicht so ganz verstanden, das hört sich aber gut an, würde dann nur als User laufen...

Und wie meinst du das mit dem Passwortklau ?

Gruß

Merenda

[Johannes Buchner]

Also möchtest du doch einen Auszug aus /etc/sudoers?

(benutze zum Bearbeiten visudo)

In etwa so:

Runas_Alias	VERFAHRENSUSER = verfahrensuser1,verfahrensuser2,verfahrensuser3

xxx		ALL=(VERFAHRENSUSER) NOPASSWD: /bin/sh

Die Felder bedeuten: 1. Benutzer, den die Regel betrifft 2. Rechner, auf dem die Regel gilt, ALLe 3. Benutzer, zu denen gewechselt werden kann 4. Ich mag kein Passwort 5. Befehle siehe google->man sudoers der Befehl

sudo verfahrensuser1 -c /bin/sh

wird dann von xxx benutzt, wenn die sudoers-Datei installiert ist.

Wenn der Benutzer xxx in ~/bin ein programm sh hat, und du sh statt /bin/sh verwendest, wird diese Datei aufgerufen! Also Sicherheitslöchli.

[merenda]

Aha ok ich verstehe was du jetzt meinst mit dem Sicherheitsloch ...

Also ich hab die Sudoers folgendermasen Configuriert:

User_Alias SWITCHUSER = XXX,  test_visudo


Cmnd_Alias SWITCHUSERCMD = /bin/su - user1 -c *, \

                                           /bin/su - user2 -c *, \

                                           /bin/su - user3 -c *, \



SWITCHUSER MARS = NOPASSWD: SWITCHCMD

Aber ich verstehe immer noch nicht wie das mit dem sudo -u funktioniert ?!

Ich hab mir die manpage für sudo schon ein paar mal angeschaut, aber ich steig da nicht durch :confused:

Gruß

Merenda

[Johannes Buchner]

1. Vergiss su!!

2. visudo verwendest du um die Konfiguration von sudo zu bearbeiten.

Dein sudo ruft einen Befehl, i.e. eine Shell als ein anderer Benutzer auf.

Mit der config in /etc/sudoers

User_Alias	SWITCHUSER = XXX

Runas_Alias	VERFAHRENSUSER = verfahrensuser1,verfahrensuser2,verfahrensuser3

Cmnd_Alias	SWITCHUSERCMD = /bin/sh


SWITCHUSER ALL = (VERFAHRENSUSER) NOPASSWD: SWITCHCMD

Also ruf visudo auf und schreib das in deine config. 2. Gehe in den Account XXX, und versuche

xxx$ sudo -u verfahrensuser2 /bin/sh /bin/sh

verfahrensuser2$whoami

verfahrensuser2

und so ... verstanden?

[merenda]

Hi,

ok ich hab verstanden, wie ich das jetzt einrichten soll, aber was habe ich für ein Vorteil ?

Merenda

[Johannes Buchner]

Dass du kein Passwort eingeben musst, wenn du den Benutzer von xxx auf einen der verfahrensuser wechseln willst, was du bei su machen müsstest.

Und dass es funktioniert <-- hoffe ich

[merenda]

Dass du kein Passwort eingeben musst, wenn du den Benutzer von xxx auf einen der verfahrensuser wechseln willst, was du bei su machen müsstest.

Und dass es funktioniert <-- hoffe ich

Ja aber wenn ich es so eintrage wie hier muss ich auch kein Passwort eingeben, wenn ich mit dem User xxx oder test_visudo zu einem der Verfahren user welchsle, bzw. ein Commando ausführe.

User_Alias SWITCHUSER = XXX,  test_visudo


Cmnd_Alias SWITCHUSERCMD = /bin/su - user1 -c *, \

                           /bin/su - user2 -c *, \

                           /bin/su - user3 -c *, \



SWITCHUSER MARS = NOPASSWD: SWITCHCMD