---

jeg har hært om en løsning med at oprette en gruppe, og så begrænse su så
den kun kan exekveres af medlemmer af samme gruppe...

findes der ikke en anden måde at gøre det på - evt via en conf fil et
sted ?

---

"Brian Hemstedt" <brian@brians.it-bakken.dk> writes:

> jeg har hært om en løsning med at oprette en gruppe, og så begrænse su så
> den kun kan exekveres af medlemmer af samme gruppe...

Det kommer lidt an på så meget.

Nogle versioner af su understøtter ikke den funktionalitet. Blandt
andet mener jeg ikke at RMS' version gjorde det, da han er modstander
af funktionaliteten.

På Debian bruges en pam-enabled version af su. Der kan det slås til i
/etc/pam-d/su ved at tilføje en linje, der siger:

auth required pam_wheel.so

Prøv at se om du har en ligende fil.

--
hash-bang-slash-bin-slash-bash

---

>>>>> "Peter" == Peter Makholm <peter@makholm.net> writes:

Peter> Det kommer lidt an på så meget.

Peter> Nogle versioner af su understøtter ikke den
Peter> funktionalitet. Blandt andet mener jeg ikke at RMS' version
Peter> gjorde det, da han er modstander af funktionaliteten.

Peter> På Debian bruges en pam-enabled version af su. Der kan det
Peter> slås til i /etc/pam-d/su ved at tilføje en linje, der siger:

Peter> auth required pam_wheel.so

Peter> Prøv at se om du har en ligende fil.

Eller den bedre løsning. Installer sudo på din maskine, den kan alt
det der samt meget andet...

Jeg bruger den mange steder, og den virker kanon godt.

/Thomas
--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)

---

Thomas Rasmussen <simpsons@kom.auc.dk> writes:

> Eller den bedre løsning. Installer sudo på din maskine, den kan alt
> det der samt meget andet...

Det kommer lidt an på hvad man vil. Jeg er helt sikker på at mange af
de ting jeg bruger root til egentligt burde laves med sudo (apt-get
for eksempel), men engang imellem tror jeg at en root-shell er en god
ting.


Men man kan selvfølgelig lave en 'sudo /bin/ash'.

--
hash-bang-slash-bin-slash-bash

---

>>>>> "Peter" == Peter Makholm <peter@makholm.net> writes:

Peter> Det kommer lidt an på hvad man vil. Jeg er helt sikker på at
Peter> mange af de ting jeg bruger root til egentligt burde laves med
Peter> sudo (apt-get for eksempel), men engang imellem tror jeg at en
Peter> root-shell er en god ting.

Jeps... jeg bruger sudo til næsten alt, men hvis jeg skal lave mange
ting som root så laver jeg da blot en `sudo su`... det virker fint

Med tweaking af sudo tror jeg faktisk man kommer langt, og jeg har
endnu ikke rigtig hørt om de store sikkerhedsproblemer med den, så det
er klart en anbefaling herfra.

/Thomas

--
/"\ | Human Knowledge Belongs To The World
\ / | -- Milo Hoffman in "AntiTrust"
x |
/ \ <-- (ASCII Ribbon Campain against html emails and postings!)

---

Thomas Rasmussen wrote:
>>>>>> "Peter" == Peter Makholm <peter@makholm.net> writes:
>
> Peter> Det kommer lidt an på hvad man vil. Jeg er helt sikker på at
> Peter> mange af de ting jeg bruger root til egentligt burde laves med
> Peter> sudo (apt-get for eksempel), men engang imellem tror jeg at en
> Peter> root-shell er en god ting.
>
> Jeps... jeg bruger sudo til næsten alt, men hvis jeg skal lave mange
> ting som root så laver jeg da blot en `sudo su`... det virker fint
>
> Med tweaking af sudo tror jeg faktisk man kommer langt, og jeg har
> endnu ikke rigtig hørt om de store sikkerhedsproblemer med den, så det
> er klart en anbefaling herfra.

Hvis du kører ældre sudo end 16.3p3 har du muligvis et problem (jf
'http://securityportal.com/topnews/weekly/bsd.html#openbsd').

Jeg er i øvrigt også glad for sudo. Har derudover sat 4700 rettigheder
på '/usr/bin/su' - for gøre det mere "motiverende" at bruge sudo frem for
su.

--
Ole Michaelsen
Copenhagen, Denmark

---

Hej,

> jeg har hært om en løsning med at oprette en gruppe, og så begrænse su
så
> den kun kan exekveres af medlemmer af samme gruppe...

Man skulle tro at man kunne bruge:

chgrp <gruppe> /bin/su
chmod o-x /bin/su

Om ens pakkesystem el.l. så kan lide at man gør det ved jeg så ikke.


Christian