j'aimerais savoir s'il est possible d'autoriser un utilisateur =E0
lancer un programme n=E9cessitant les droits root via sudo, mais
uniquement de mani=E8re temporaire, genre 1 ou 2 min seulement apr=E8s
l'ouverture de la session par exemple.
Mon autre question est :
Ledit programme lanc=E9, ce programme continuera-t-il toujours de
fonctionner
une fois l'autorisation sudo perdue apr=E8s les 2 min ?
Autrement dit : sudo s'applique-t-il uniquement au lancement d'un
programme, ou =E9galement =E0 son fonctionnement et donc =E0 la pr=E9sence
d'un PID li=E9 au programme lanc=E9 ?
Cela n=E9cessite-il un script ?
C juste histoire d'avoir sur un programme l'acc=E8s d'un simple user
pour raisons de commodit=E9 et ceci au d=E9marrage de la session, sans
trop p=E9cher d'un point de vue s=E9curit=E9 en emp=EAchant ensuite
n'importe quel user d'acc=E9der au programme lanc=E9, m=EAme le user qui
vient de le lancer via sudo.
D'o=FB le titre du post : sudo temporaire...
Je n'ai rien vu dans le man de sudo ni dans ce forum (ou alors j'ai pas
bien vu).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
R12y
On Sun, 04 Sep 2005 01:40:49 -0700, Nikoo wrote:
Cela nécessite-il un script ?
Ca dépend de ce que tu veux autoriser. Un programme a les moyens de connaiter son PID, donc à priori, il peut publier son PID. Donc au bout d'un moment tu peux toujours faire un truc qui dit à root de killer tel ou tel PID.
SInon, tu peux donner des détails sur le programe à "suer"? Il fait quoi? c'est un script shell? modifiable par l'utilisateur?
-- SPIP, phpNuke, Plone, opengroupware... c'est bien CPS c'est mieux: http://www.cps-project.org/ Hébergement de sites CPS: http://www.objectis.org/
On Sun, 04 Sep 2005 01:40:49 -0700, Nikoo wrote:
Cela nécessite-il un script ?
Ca dépend de ce que tu veux autoriser.
Un programme a les moyens de connaiter son PID, donc à priori, il peut
publier son PID. Donc au bout d'un moment tu peux toujours
faire un truc qui dit à root de killer tel ou tel PID.
SInon, tu peux donner des détails sur le programe à "suer"? Il fait
quoi? c'est un script shell? modifiable par l'utilisateur?
--
SPIP, phpNuke, Plone, opengroupware... c'est bien
CPS c'est mieux: http://www.cps-project.org/
Hébergement de sites CPS: http://www.objectis.org/
Ca dépend de ce que tu veux autoriser. Un programme a les moyens de connaiter son PID, donc à priori, il peut publier son PID. Donc au bout d'un moment tu peux toujours faire un truc qui dit à root de killer tel ou tel PID.
SInon, tu peux donner des détails sur le programe à "suer"? Il fait quoi? c'est un script shell? modifiable par l'utilisateur?
-- SPIP, phpNuke, Plone, opengroupware... c'est bien CPS c'est mieux: http://www.cps-project.org/ Hébergement de sites CPS: http://www.objectis.org/
Nikoo
On Sun, 04 Sep 2005 01:40:49 -0700, Nikoo wrote:
Cela nécessite-il un script ?
Ca dépend de ce que tu veux autoriser. Un programme a les moyens de connaiter son PID, donc à priori, il peut publier son PID. Donc au bout d'un moment tu peux toujours faire un truc qui dit à root de killer tel ou tel PID.
SInon, tu peux donner des détails sur le programe à "suer"? Il fait quoi? c'est un script shell? modifiable par l'utilisateur?
-- Le programme est firestarter, frontend pour iptables, très simple à
utiliser. Par défaut, il faut entrer le mot de pass root pour lancer son interface graphique et l'avoir en icone dans le systray (normal, puisqu'on peut même arrêter le firewall via cette interface) lors d'une session sous X. Sur alt.os.linux.mandrake.fr, un gars voulait pouvoir lancer cette interface en étant utilisateur simple, pour qu'elle se lance directement au lancement de la session, et sans avoir à rentrer le mot de passe root.
La procédure est décrite dans la FAQ du site de firestarter en mettant l'utilisateur lambda dans /etc/sudoers (j'ai une Mandriva LE2005 download edition).
Cependant, ceci pose un problème de sécurité comme je l'ai dit, et comme ils le disent par ailleurs dans la FAQ lorsqu'ils exposent comment faire.
D'où l'idée que j'ai eu si finalement le LANCEMENT de l'application ne pourrait pas être sudoer, mais seulement temporairement, de manière à ce que le programme soit lancé au démarrage de la session, puis toujours visible, mais non touchable par les utilisateurs ; avec demande de mot de passe root si une modif de config du parefeu est à faire.
A mon avis, c peut-être un peu tordu, mais la question peut valoir le coup d'être posée.
Perso, ça ne me dérange pas d'avoir à retaper le mot de passe à chaque début de session.
Velà.
On Sun, 04 Sep 2005 01:40:49 -0700, Nikoo wrote:
Cela nécessite-il un script ?
Ca dépend de ce que tu veux autoriser.
Un programme a les moyens de connaiter son PID, donc à priori, il peut
publier son PID. Donc au bout d'un moment tu peux toujours
faire un truc qui dit à root de killer tel ou tel PID.
SInon, tu peux donner des détails sur le programe à "suer"? Il fait
quoi? c'est un script shell? modifiable par l'utilisateur?
--
Le programme est firestarter, frontend pour iptables, très simple à
utiliser.
Par défaut, il faut entrer le mot de pass root pour lancer son
interface graphique et l'avoir en icone dans le systray (normal,
puisqu'on peut même arrêter le firewall via cette interface) lors
d'une session sous X.
Sur alt.os.linux.mandrake.fr, un gars voulait pouvoir lancer cette
interface en étant utilisateur simple, pour qu'elle se lance
directement au lancement de la session, et sans avoir à rentrer le mot
de passe root.
La procédure est décrite dans la FAQ du site de firestarter en
mettant l'utilisateur lambda dans /etc/sudoers (j'ai une Mandriva
LE2005 download edition).
Cependant, ceci pose un problème de sécurité comme je l'ai dit, et
comme ils le disent par ailleurs dans la FAQ lorsqu'ils exposent
comment faire.
D'où l'idée que j'ai eu si finalement le LANCEMENT de l'application
ne pourrait pas être sudoer, mais seulement temporairement, de
manière à ce que le programme soit lancé au démarrage de la
session, puis toujours visible, mais non touchable par les utilisateurs
; avec demande de mot de passe root si une modif de config du parefeu
est à faire.
A mon avis, c peut-être un peu tordu, mais la question peut valoir le
coup d'être posée.
Perso, ça ne me dérange pas d'avoir à retaper le mot de passe à
chaque début de session.
Ca dépend de ce que tu veux autoriser. Un programme a les moyens de connaiter son PID, donc à priori, il peut publier son PID. Donc au bout d'un moment tu peux toujours faire un truc qui dit à root de killer tel ou tel PID.
SInon, tu peux donner des détails sur le programe à "suer"? Il fait quoi? c'est un script shell? modifiable par l'utilisateur?
-- Le programme est firestarter, frontend pour iptables, très simple à
utiliser. Par défaut, il faut entrer le mot de pass root pour lancer son interface graphique et l'avoir en icone dans le systray (normal, puisqu'on peut même arrêter le firewall via cette interface) lors d'une session sous X. Sur alt.os.linux.mandrake.fr, un gars voulait pouvoir lancer cette interface en étant utilisateur simple, pour qu'elle se lance directement au lancement de la session, et sans avoir à rentrer le mot de passe root.
La procédure est décrite dans la FAQ du site de firestarter en mettant l'utilisateur lambda dans /etc/sudoers (j'ai une Mandriva LE2005 download edition).
Cependant, ceci pose un problème de sécurité comme je l'ai dit, et comme ils le disent par ailleurs dans la FAQ lorsqu'ils exposent comment faire.
D'où l'idée que j'ai eu si finalement le LANCEMENT de l'application ne pourrait pas être sudoer, mais seulement temporairement, de manière à ce que le programme soit lancé au démarrage de la session, puis toujours visible, mais non touchable par les utilisateurs ; avec demande de mot de passe root si une modif de config du parefeu est à faire.
A mon avis, c peut-être un peu tordu, mais la question peut valoir le coup d'être posée.
Perso, ça ne me dérange pas d'avoir à retaper le mot de passe à chaque début de session.
