- Управление IPFW любым пользователем, newser, 18:37 , 24-Янв-07 (1)
- Управление IPFW любым пользователем, Wing, 18:48 , 24-Янв-07 (2)
- Управление IPFW любым пользователем, Ged, 12:52 , 26-Янв-07 (4)
- Управление IPFW любым пользователем, MoHaX, 13:48 , 26-Янв-07 (5)
- Управление IPFW любым пользователем, Happy_demon, 14:02 , 26-Янв-07 (6)
- Управление IPFW любым пользователем, Batva, 14:39 , 26-Янв-07 (7)
>>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? >здесь же на opennet'e > IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль? > ># sudoers file. >User_Alias OPERATOR = igor,ochersv >Cmnd_Alias USERMAN = /usr/sbin/useradd *, /usr/sbin/adduser *, >/usr/sbin/userdel *, /usr/bin/passwd *, !/usr/bin/passwd root, >/usr/sbin/usermod *, !/usr/sbin/usermod *root, !/usr/sbin/userdel root >OPERATOR ALL = NOPASSWD: USERMAN > > >Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять, >добавлять, менять пароли всем кроме root) без ввода пароля. При таком решении пользователь будет иметь доступ не только к ipfw, и не только к определённым правилам, а это есть угроза безопасности. Доверяете-ли вы этому пользователю? Полней опишите задачу, есть более безопасные решения. Например связка WWW + cron
- Управление IPFW любым пользователем, Nimdar, 14:44 , 26-Янв-07 (8)
- Управление IPFW любым пользователем, Batva, 15:00 , 26-Янв-07 (9)
>> Например связка WWW + cron >Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И >это по вашему более безопасно? > ># sudoers file. >User_Alias OPERATOR = igor >Cmnd_Alias IPFW = /sbin/ipfw >OPERATOR ALL = IPFW > >Пользователь igor имеет только право изменять правила ipfw и больше ничего. А если это не просто роутер? при вашем решении ползователь имеет доступ к всем правилам, как хочет так и крутит. WWW не рулит правилами, через WWW с авторизацией, можно поставить метку которая разрешит добавить/удалить определённое правило в ipfw. Само правило заготовлено админом и только оно, а не какоето другое. cron запускает скрипт который смотрит на мету, есть делаем это, другая метка делаем другое и т.д. я пользуюсь таким решением, таймаут 10 сек. пользователь это запаздывание практически не чуствует.
- Управление IPFW любым пользователем, Nimdar, 15:07 , 26-Янв-07 (10)
- Управление IPFW любым пользователем, Batva, 15:09 , 26-Янв-07 (11)
>Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат >в полноценные админы в команде. И "как хочет" рулить не может, >в противном случае админ, давший ему права идиот. Автор к таковым >вряд ли относится. =) разные задачи, разные пользователи, я только предлагаю вариант решения.
|