URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 71676
[ Назад ]

Исходное сообщение
"Управление IPFW любым пользователем"
Отправлено Ged , 24-Янв-07 18:23

Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?

Содержание

Управление IPFW любым пользователем,newser, 18:37 , 24-Янв-07
- Управление IPFW любым пользователем,Ged, 12:48 , 26-Янв-07
Управление IPFW любым пользователем,Wing, 18:48 , 24-Янв-07
- Управление IPFW любым пользователем,Ged, 12:52 , 26-Янв-07
  - Управление IPFW любым пользователем,MoHaX, 13:48 , 26-Янв-07
    - Управление IPFW любым пользователем,Happy_demon, 14:02 , 26-Янв-07
      - Управление IPFW любым пользователем,Batva, 14:39 , 26-Янв-07
        
        Управление IPFW любым пользователем,Nimdar, 14:44 , 26-Янв-07
        
        Управление IPFW любым пользователем,Batva, 15:00 , 26-Янв-07
        
        Управление IPFW любым пользователем,Nimdar, 15:07 , 26-Янв-07
        
        Управление IPFW любым пользователем,Batva, 15:09 , 26-Янв-07

Сообщения в этом обсуждении

"Управление IPFW любым пользователем"
Отправлено newser , 24-Янв-07 18:37

>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
Не надо этого хотеть. Оставьте это root'у.

"Управление IPFW любым пользователем"
Отправлено Ged , 26-Янв-07 12:48

>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>
>Не надо этого хотеть. Оставьте это root'у.
Ответ не сильно серьезный. Нужно...

"Управление IPFW любым пользователем"
Отправлено Wing , 24-Янв-07 18:48

>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?

man sudo

"Управление IPFW любым пользователем"
Отправлено Ged , 26-Янв-07 12:52

>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>
>
>man sudo
Ништяк...
# man sudo
No manual entry for sudo
You have new mail.
Я правильно понял что идея отдать пользователю пароль рута? Меня интересует, чтобы пользователь просто мог поправить нужные ему правила.

"Управление IPFW любым пользователем"
Отправлено MoHaX , 26-Янв-07 13:48

>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>>
>>
>>man sudo
>Ништяк...
># man sudo
>No manual entry for sudo
>You have new mail.
>
>Я правильно понял что идея отдать пользователю пароль рута? Меня интересует, чтобы
>пользователь просто мог поправить нужные ему правила.

cd /usr/ports/security/sudo
make install clean
rehash
man sudo

"Управление IPFW любым пользователем"
Отправлено Happy_demon , 26-Янв-07 14:02

>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
здесь же на opennet'e
IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль?
# sudoers file.
User_Alias OPERATOR = igor,ochersv
Cmnd_Alias USERMAN = /usr/sbin/useradd *, /usr/sbin/adduser *,
/usr/sbin/userdel *, /usr/bin/passwd *, !/usr/bin/passwd root,
/usr/sbin/usermod *, !/usr/sbin/usermod *root, !/usr/sbin/userdel root
OPERATOR ALL = NOPASSWD: USERMAN

Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять,
добавлять, менять пароли всем кроме root) без ввода пароля.

"Управление IPFW любым пользователем"
Отправлено Batva , 26-Янв-07 14:39

>>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>здесь же на opennet'e
> IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль?
>
># sudoers file.
>User_Alias OPERATOR = igor,ochersv
>Cmnd_Alias USERMAN = /usr/sbin/useradd *, /usr/sbin/adduser *,
>/usr/sbin/userdel *, /usr/bin/passwd *, !/usr/bin/passwd root,
>/usr/sbin/usermod *, !/usr/sbin/usermod *root, !/usr/sbin/userdel root
>OPERATOR ALL = NOPASSWD: USERMAN
>
>
>Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять,
>добавлять, менять пароли всем кроме root) без ввода пароля.
При таком решении пользователь будет иметь доступ не только к ipfw,
и не только к определённым правилам, а это есть угроза безопасности.
Доверяете-ли вы этому пользователю?
Полней опишите задачу, есть более безопасные решения.
Например связка WWW + cron

"Управление IPFW любым пользователем"
Отправлено Nimdar , 26-Янв-07 14:44

> Например связка WWW + cron
Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И это по вашему более безопасно?
# sudoers file.
User_Alias OPERATOR = igor
Cmnd_Alias IPFW = /sbin/ipfw
OPERATOR ALL = IPFW
Пользователь igor имеет только право изменять правила ipfw и больше ничего.

"Управление IPFW любым пользователем"
Отправлено Batva , 26-Янв-07 15:00

>> Например связка WWW + cron
>Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И
>это по вашему более безопасно?
>
># sudoers file.
>User_Alias OPERATOR = igor
>Cmnd_Alias IPFW = /sbin/ipfw
>OPERATOR ALL = IPFW
>
>Пользователь igor имеет только право изменять правила ipfw и больше ничего.
А если это не просто роутер? при вашем решении ползователь
имеет доступ к всем правилам, как хочет так и крутит.
WWW не рулит правилами, через WWW с авторизацией, можно поставить
метку которая разрешит добавить/удалить определённое правило в ipfw.
Само правило заготовлено админом и только оно, а не какоето другое.
cron запускает скрипт который смотрит на мету, есть делаем это, другая метка
делаем другое и т.д.
я пользуюсь таким решением, таймаут 10 сек. пользователь
это запаздывание практически не чуствует.

"Управление IPFW любым пользователем"
Отправлено Nimdar , 26-Янв-07 15:07

Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат в полноценные админы в команде. И "как хочет" рулить не может, в противном случае админ, давший ему права идиот. Автор к таковым вряд ли относится.

"Управление IPFW любым пользователем"
Отправлено Batva , 26-Янв-07 15:09

>Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат
>в полноценные админы в команде. И "как хочет" рулить не может,
>в противном случае админ, давший ему права идиот. Автор к таковым
>вряд ли относится.
=) разные задачи, разные пользователи, я только предлагаю вариант решения.