1 |
On 10/17/05, Daniel Rindt <daniel@×××××.name> wrote: |
2 |
> Am Freitag, den 14.10.2005, 18:08 +0200 schrieb Arnold Krille: |
3 |
> > Dann hast Du _echt_ ein Problem, denn root darf alles! Oder der user |
4 |
> > hat als shell den Eintrag "/bin/false", dann kann niemand eine shell |
5 |
> > unter diesem user öffnen... |
6 |
> Genau an dem ist es. Folgendes Szenario: Der Benutzer wird angelegt ohne |
7 |
> Eintrag für eine Shell. Das Script was die entsprechenden Dateien des |
8 |
> Benutzers anfasst läuft als root (ich kann an dem Script nichts |
9 |
> verändern!) und führt mittels 'su' ungefähr so sieht die Zeile aus: |
10 |
> '/bin/su - web1 -s /bin/bash -c '/bin/tar -clz -C /home/www/web1/html |
11 |
> -f /home/www/web1/backup/html.tar.gz .'' |
12 |
|
13 |
Das Problem ist das "su -" was bedeutet: "wechsel richtig auf den user |
14 |
inlusive login-shell" Wenn der User aber keine Login-shell hat, geht |
15 |
das nicht. In der Zeile oben muss der erste bindestrich weg, dann |
16 |
gehts. Oder der user bekommt eine Loginshell aber kein Passwort bzw. |
17 |
ein Ausrufezeichen (oder so) in /etc/shadow, dann kann keiner per |
18 |
passwort-authentifizierung auf diesen User wechseln... |
19 |
|
20 |
> Leider geht aber eben genau das nicht weil er nicht in der Gruppe wheel |
21 |
> ist. |
22 |
|
23 |
FALSCH! Du schreibst jetzt sofort zehn mal: "Der User root darf alles!" (*) |
24 |
|
25 |
Ein gewöhnlicher user muss in der Gruppe wheel sein, um mittels su den |
26 |
Nutzer wechseln zu dürfen. Root darf alles! |
27 |
|
28 |
> > Du meinst wahrscheinlich, das Du nicht vom user zu root wechseln |
29 |
> > kannst. |
30 |
> Anders herum vom root zum user. |
31 |
|
32 |
siehe oben... |
33 |
|
34 |
Arnold |
35 |
|
36 |
(*) Alternativ für Dein Ego als Sysadmin geht auch: "Ich bin root, ich |
37 |
darf alles!" |
38 |
|
39 |
-- |
40 |
visit http://dillenburg.dyndns.org/~arnold/ |
41 |
--- |
42 |
Wenn man mit Raubkopien Bands wie Brosis oder Britney Spears wirklich |
43 |
verhindern könnte, würde ich mir noch heute einen Stapel Brenner und |
44 |
einen Sack Rohlinge kaufen. |
45 |
|
46 |
-- |
47 |
gentoo-user-de@g.o mailing list |