rulinux.net - Форум - Admin - [управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 13:56:04 +0400

просто используй sudo правильно

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 13:50:38 +0400

>А что я буду набирать в sudo -c 'ls' username?
тебе же sudoers разрешит выполнять только твою программу

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 13:37:07 +0400

> нулевой пароль сделать, как у рута в убунте
~~А что я буду набирать в sudo -c 'ls' username?~~

UPD:

А что я буду набирать в su -c 'ls' username?

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 12:39:57 +0400

нулевой пароль сделать, как у рута в убунте

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 12:00:57 +0400

>Как при этом запретить логин?

nologin в /etc/passwd

может быть ещё можно не выставлять пароль

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 11:49:31 +0400

ему надо сделать так, чтобы пользователь был заведен, но войти не смог, но команду выполнить мог. зачем тогда думать о заведении юзера в системе командой useradd

имхо простое решение повесить любого самописного на любом ЯП демона на telnet 123.234.345.23 1234

и коннектиться на хост:порт и вводить команду

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 11:04:41 +0400

А, теперь ясно: никто никого не понял. :) Тогда так. Заведи пользователя, в /etc/passwd в последнем поле замени /bin/bash на /path/command

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 10:42:49 +0400

Вилли, честно, я тебя не понял.

Уточняю ТЗ: завести пользователя для выполнение одной-единственной команды (запуск браузера, например), при этом, если вдруг пароль утечёт/поломают браузер через дыры, то ничего нельзя бы было выполнить, даже залогиниться в систему под этим пользователем.

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 10:20:13 +0400

Из-под юзера:

sudo command

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 10:19:31 +0400

> su - username
>> Как при этом запретить логин?
ты определись что тебе нужно, ты говоришь в коанах дзен^Wкоманд консоли

но при этом хочешь чтобы не было логина. Зачем такой геморой. Напиши прогу, чтобы висела на хосте порте как сокет и отдавала нужные данные. Тебе нужен апач или нджинкс. ну так и реализуй это. я не втыкаю что нужно тебе, либо ты сам не знаешь что хочешь.

http://kpolyakov.narod.ru/prog/humor.htm

причем тут вообще сам юникс в смысле SysV скриптов

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 10:09:38 +0400

> username ALL=(ALL) NOPASSWD: /path/command
Как при этом запретить логин?

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:54:48 +0400

groupadd -r onecommand # создать системную группу

cat /etc/passwd | grep onecommand

onecommand:x:12345:12345::/home/onecommand:/usr/bin/command.pl

и дать права на группу для /usr/bin/command.pl

както так наверное.

А далее в группу добавлять пользователей.

Как писать отлуп на другие команды - не знаю...

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:43:08 +0400

В /etc/sudoers

username ALL=(ALL) NOPASSWD: /path/command

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:37:43 +0400

> SELinux или AppArmor
Ни в коем случае!

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:25:57 +0400

SELinux или AppArmor возможно помогут решить это.

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:24:08 +0400

> Чем sudo не айс?
По-моему, это аналог su -c. Впрочем, если есть рабочий пример, то попробую так.

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:16:16 +0400

Чем sudo не айс?

Re:[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 09:14:53 +0400

что приходит в голову. Создать группу, которая не может ничего, кроме одной единственной команды. на все остальное отлуп

я не так сильно знаю chown но возможно это можно сделать.

[управление пользователями] Как запретить логин, но разрешить выполнение через su -c 'command' - username?

Tue, 04 Dec 2012 08:33:29 +0400

Задача такая: завести пользователя для запуска одной единственной программы; всё прочее должно быть отключено. Соответственно, при попытке su - username должно выдаваться предупреждение "Тут ловить нечего, ПНХ!" и автоматический exit, но при su -c command - username должна запускаться эта команда от этого пользователя. Такое возможно?

chsh -s /sbin/nologin username даёт "ПНХ!" в любом случае.