mikrocontroller.net

Forum: PC Hard- und Software Wie Root-Befehle in Bashscript als User ausführen ?


Autor: S. Matlok (smatlok)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

Situation:
Ich habe in meinem Linux(Debian) Server u.a. eine 500gb Platte, welche 
ich nur selten zu Backupzwecken verwenden will. Damit sie in den 
Tagen/Wochen dazwischen auch definitiv nicht mehr aus Spass anläuft, 
möchte ich sie in einem kleinen Script umounten und in standby 
versetzen.

Problem:
Befehle wie mount, hdparm usw benötigen ja Rootrechte -- jedoch möchte 
ich das script auch gerne irgendwie als Gast/normaler User ausführen 
können, so dass meine Mitbewohner auch mal die Festplatte verwenden 
können, wenn ich mal nicht daheim bin..

Idee ? Kenn mich leider kaum mit unix aus.

Autor: Ekschperde (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Normalerweise macht das sudo.

Die man-page darfst Du aber alleine lesen.

> Linux(Debian)...
> Kenn mich leider kaum mit unix aus.
Mutig, mutig...

Autor: Chris (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die saubere Methode un das mounten zu erlauben ist es, unter /etc/fstab 
bei der gewünschten Partition die Mount-Option "user" einzutragen. Dann 
kann auch ein nicht-super-user mounten und unmounten.

Einem shell-skript kann man aus guten Grund kein suid root geben, und 
auch für (u)mount und hdparm steht suid root außer Frage.

sudo wäre auch eine Möglichkeit, um gezielt einzelnen Usern bestimmte 
mount- und hdparm-Befehle zu erlauben. Allerdings musst du das sehr gut 
konfigurieren, damit dadurch kein Sicherheitsrisiko entsteht (unbedingt 
Kommandozeilen-Parameter festlegen). Das Suchwort für diese Methode 
lautet "sudoers".

Autor: S. Matlok (smatlok)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hm, wenn ich das jetz richtig verstanden habe, dann:

-> es existiert bereits für meine wg-bewohner ein sudologin, jedoch ist 
es recht umständlich erst das passwort eingeben zu müssen.

Ausserdem möchte ich das auch gern mit einer Tastenkombi starten, jedoch 
werden die Tastenkombinationsbefehle auch nur vom immer laufenden 
Gastaccount ohne Rootrechte ausgeführt.

Erklärung: der Server steht zentral im Flur und wird neben Datenserver 
und diversen Spielereien als 
Frühstücksnews-Wetter-Bus-Bahnverbindungs-Informationsstation genutzt, 
es ist also immer der "WG Gast" auf fluxbox eingeloggt. Da auch ab und 
zu hier fremde leute unterwegs sind, möchte ich nicht pauschal allzuviel 
Rechte vergeben ;-)

Autor: S. Matlok (smatlok)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@ Chris (Gast)

Ah, nicht schlecht! schonmal halbes Problem gelöst, danke für den Tipp 
:-)

Autor: Matt (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vielleicht reicht Dir schon http://hd-idle.sourceforge.net/ ? Das 
koennte als suid root evtl. weniger gefaehrlich sein als hdparm.
Gruesse

Autor: Matt (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Edith sagt: Bei nicht gemountetem Laufwerk sollte selbiges eigentlich 
nicht von selbst anlaufen, also geht es mglw. auch ohne manuelles 
Ausfuehren als suid root, die HD geht dann einfach von slebst nach 10min 
Ruhe aus.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
die Frage ist doch wie gut ist das für die Festplatte ständig an und 
ausgeschaltet zu werden? Wenn es nur einmal am Tag ist mag das noch 
gehen, aber wenn es 10mal pro Tag wird dann geht sie dadurch zeitiger 
Kaputt.

Autor: 1/4Guru (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@S. Matlok

Sowas habe ich mir auch schon überlegt, wollte es aber über www steuern. 
Die einzige "saubere" Methode die mir eingefallen ist wäre diese:

schreib dir ein Cronskript oder Hintergrundprozess der als root läuft 
und in eine Datei schaut. Steht z.B. in der Datei eine 0 dann wird das 
Laufwerk getrennt und bei einer 1 eingehängt.

Wenn sich beim trennen jemand im Laufwerk befindet wird es Probleme 
geben und eine "force" ist dann nicht angebracht.

Meine Platten (nicht root) gehen nach etwas 10min. in den suspend (per 
hdparm eingestellt). Wenn ich nicht über das Netz auf die Platte 
zugreife bleibt sie im suspend und gut ist.

@Peter

smartctl ist dein Freund

Autor: Michael G. (linuxgeek) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
S. Matlok wrote:

> -> es existiert bereits für meine wg-bewohner ein sudologin, jedoch ist
> es recht umständlich erst das passwort eingeben zu müssen.

Dann konfigurierst Du sudo passowortlos.

Autor: Chris (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>> -> es existiert bereits für meine wg-bewohner ein sudologin, jedoch ist
>> es recht umständlich erst das passwort eingeben zu müssen.
> Dann konfigurierst Du sudo passowortlos.

Genau das meinte ich. Dann ist es aber sehr wichtig, die exakte (!) und 
vollständige Kommandozeile festzulegen, die passwortlos als root 
ausgeführt werden darf.

In diesem Fall müssen also die Parameter von hdparm in der Datei sudoers 
genauestens festgelegt werden, damit man keinen Unfug treiben kann.

Autor: Michael G. (linuxgeek) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Chris wrote:
>>> -> es existiert bereits für meine wg-bewohner ein sudologin, jedoch ist
>>> es recht umständlich erst das passwort eingeben zu müssen.
>> Dann konfigurierst Du sudo passowortlos.
>
> Genau das meinte ich. Dann ist es aber sehr wichtig, die exakte (!) und
> vollständige Kommandozeile festzulegen, die passwortlos als root
> ausgeführt werden darf.

Jemanden, den ich root-Rechte gebe, muss vertrauenswuerdig sein. Wenn er 
es nicht ist, bekommt er kein root auf der entsprechenden Maschine. 
"root unter Vorbehalt" ist Unfug.

> In diesem Fall müssen also die Parameter von hdparm in der Datei sudoers
> genauestens festgelegt werden, damit man keinen Unfug treiben kann.

Siehe oben. Selbiges gilt natuerlich fuer unqualifizierte Benutzer => 
kein root.

Autor: Meckerer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@linuxtroll:

Dir wünsche ich mal ein linuxbasiertes Consumergerät, wo der
Entwickler sich auch dachte:

> Jemanden, den ich root-Rechte gebe, muss vertrauenswuerdig sein. Wenn er
> es nicht ist, bekommt er kein root auf der entsprechenden Maschine.
> "root unter Vorbehalt" ist Unfug.

Damit dann viel Spass...

BTW.: es heisst: ... ,dem ... (Dativ)

Autor: Morin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Genau das meinte ich. Dann ist es aber sehr wichtig, die exakte (!) und
> vollständige Kommandozeile festzulegen, die passwortlos als root
> ausgeführt werden darf.

Stichwort: setuid-bit, ein Dateityp-Bit für ausführbare Dateien. Wer das 
Programm ausführen darf wird durch die Access-bits festgelegt, das 
Programm wird dann aber mit den Rechten des Dateibesitzers ausgeführt. 
Das Programm macht dann selbstverständlich nur solche Sachen, die der 
Besitzer gutheißt. Wird gern verwendet um z.B. den mount-Befehl für 
nicht-root-Benutzer zugänglich zu machen, obwohl dieser ja mit 
root-Rechten das Dateisystem verändern muss.

> Jemanden, den ich root-Rechte gebe, muss vertrauenswuerdig sein. Wenn er
> es nicht ist, bekommt er kein root auf der entsprechenden Maschine.
> "root unter Vorbehalt" ist Unfug.

Wenn du das für Unfug hältst dann schlag eine Alternative vor.

Autor: LINUX (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Stichwort: setuid-bit, ein Dateityp-Bit für ausführbare Dateien. Wer das
> Programm ausführen darf wird durch die Access-bits festgelegt, das
> Programm wird dann aber mit den Rechten des Dateibesitzers ausgeführt.
> Das Programm macht dann selbstverständlich nur solche Sachen, die der
> Besitzer gutheißt. Wird gern verwendet um z.B. den mount-Befehl für
> nicht-root-Benutzer zugänglich zu machen, obwohl dieser ja mit
> root-Rechten das Dateisystem verändern muss.

Wat bist du denn fuer ein noob-arsch !

> Das Programm macht dann selbstverständlich nur solche Sachen, die der

Du solltest lebenslänglich Rechnerverbot bekommen !


DAS setuid-bit darf nur aktiviert werden, wenn das eigentlich Programm 
eine eigene Sicherheitsüberprüfung mit drin hat ob Morin & Co. keine 
Scheisse anstellen. Auf alle Fälle NIE einschalten bei solchen SPAM & 
Virenversendern wie die es sind.

Autor: Morin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das einzige, was ich aus deinem geistreichen Kommentar entnehmen konnte, 
ist genau das, was ich schon erwähnt hatte: Da ein Anwender per setuid 
anderen Anwendern erlaubt, in seinem Namen und mit seinen Rechten 
Programme auszuführen, sollte er tunlichst darauf achten, dass die 
solcherart "freigeschalteten" Programme nichts schlimmes anrichten... 
z.B. indem es selbstgeschriebene Programme sind, die einen einzigen 
wohlbekannten Bash-Befehl ausführen und sonst nix (Achtung: bin nicht 
sicher, ob das Bit bei Bash-Scripten so wie gedacht funktioniert, also 
vorher nachprüfen!)

Autor: Chris (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> anderen Anwendern erlaubt, in seinem Namen und mit seinen Rechten
> Programme auszuführen, sollte er tunlichst darauf achten, dass die
> solcherart "freigeschalteten" Programme nichts schlimmes anrichten...
> z.B. indem es selbstgeschriebene Programme sind, die einen einzigen
> wohlbekannten Bash-Befehl ausführen und sonst nix (Achtung: bin nicht
> sicher, ob das Bit bei Bash-Scripten so wie gedacht funktioniert, also
> vorher nachprüfen!)

Nein, bei Bash-Skripten und allgemein Skripten aller Art wird das 
setuid-Bit ignoriert, weil es extrem schwierig ist, ein Skript 
hundert-prozentig abzusichern.

setuid auf mount setzen halte ich ebenfalls für keine gute Idee, damit 
kann viel zu viel Unfug getrieben werden. Am Ende kann man damit noch 
eine root-shell öffnen, weil mount überhaupt nicht unter 
setuid-root-Aspekten programmiert wurde.

Bevor man überhaupt über setuid nachdenkt, sollte man es zuerst mit der 
schon mehrfach erwähnten sudo-Methode versuchen: Das hat einen ähnlichen 
Effekt wie setuid, nur dass man eben die Parameter vorschreiben kann. 
Der Nicht-root-Nutzer, der dann mount aufruft, kann also nur bestimmte, 
vorgeschriebene Parameter übergeben und so keine unerwarteten Dinge mit 
dem mount-Befehl verursachen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.