Sziasztok!
Adott az alábbi sor a sudoers fájlban: felhasznalo ALL=(ALL)NOPASSWD:/usr/sbin/rndc reload
Debian 10 alatt működik, jelszó kérés nélkül újratölti a bind9 beállításait. Most migrálok egy másik gépre, amire már Debian 11-et telepítettem. visudo-val szerkesztettem a fájlt, újra is indítottam a gépet (állítólag nem kell, automatikusan életbe lép a változás), ezek ellenére kéri a jelszót. Amit neten találtam, az alapján működnie kellene ennek így. Nem tudom, hogy volt-e valami változás ami miatt már nem így kell megadni Debian 11 alatt?
Tud valaki segíteni?
- 453 megtekintés
Hozzászólások
Elvileg mindegy lenne, de az (ALL) és NOPASSWD: után tegyél be egy szóközt, hátha.
Ha esetleg nem sikerülne megoldani, tegyed fel a doas-t (néha opendoas néven fut a csomag), azt könnyebben konfigurálni, és kevésbé bugos.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
Szerintem próbáld meg lehagyni a reload paramétert a végéről és csak "...:/usr/sbin/rndc" legyen.
Ha mindenképpen meg akarod szabni hogy csak reload legyen, akkor egy külön script-be tedd és csak a script futtatására adj engedélyt.
- A hozzászóláshoz be kell jelentkezni
felhasznalo ALL=(ALL) NOPASSWD:/amit/szeretnel
(kell a space)
- A hozzászóláshoz be kell jelentkezni
Tettem bele szóközt, lehagytam a paramétert és továbbra is kéri a jelszót.
Személyes weboldalam
'Everybody loves LEDs'
- A hozzászóláshoz be kell jelentkezni
A visudo biztosan lefut? Mert ha az hibát észlel, akkor nem menti a sudoers-t. Illetve biztosan, hogy nem maradt az adott sor kikommentelve, vagy később a sudoers fájlban nincs egy másik szabály, ami véletlenül üti password-öt kérve? Mert az könnyen meglehet ám, hogy csak benézel egy # jelet, vagy egy másik sudo szabály később egy egész csoportra vagy ALL-ra módosítást tesz, és belekerül az a felhasználód is, akinek jelszőnélküli sudo-t akarsz adni.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
Köszönöm szépen!
Sikerült. A sudoers.conf legaljára tettem és így már nem kér jelszót.
Személyes weboldalam
'Everybody loves LEDs'
- A hozzászóláshoz be kell jelentkezni
sudo -l mit mond? Továbbá /etc/sudo.conf vagy /etc/sudoers.d alatt nincs valami gyanús? Ha más nem a sudo.conf-ba engedélyezd a debug logot és kiderül.
- A hozzászóláshoz be kell jelentkezni
Illetve sudo -l -U felhasznalo
parancs.
- A hozzászóláshoz be kell jelentkezni
Esetleg nincs egy masik sor ez alatt ami mondjuk engedelyezi az osszes parancsot mint pl: ALL=(ALL:ALL) ALL?
A man suders-ben benne van, hogy az utolso match-et fogja hasznalni:
When multiple entries match for a user, they are applied in order. Where there are multiple matches, the last match is used (which is not necessarily the most specific match)
- A hozzászóláshoz be kell jelentkezni
Köszönöm mindenkinek!
A sorrend volt a gond.
Személyes weboldalam
'Everybody loves LEDs'
- A hozzászóláshoz be kell jelentkezni
Megmutatnád a megoldásodat? Sokaknak segíteni a jövőben! :)
- A hozzászóláshoz be kell jelentkezni
Ez volt az:
felhasznalo ALL=(ALL:ALL) NOPASSWD:/usr/sbin/rndc reload
Annyi volt a trükk, hogy lejjebb kellett tennem a fájlban, volt alatta egy szabály ami bekavart.
Személyes weboldalam
'Everybody loves LEDs'
- A hozzászóláshoz be kell jelentkezni
Ja, ahogy előre lehetett látni. A jövőben ajánlom, hogy előbb mentsd el a /etc/sudoers fájlt, és törölj ki belőle mindent az @includedir /etc/sudoers.d soron kívül, így kikerül belőle minden komment, korábbi szabály, és tiszta lappal indítasz, áttekinthetőbb lesz az egész. Plusz a szintaxisa is elég nem felhasználóbarát, elég egy karaktert, % vagy # jelet, szóközt, le nem zárt zárójelet benézni, és nem fog menni, ráadásul visszajelzést se ad, hogy na, te hülye barom, félreírtál valamit, mi a hiba, csak azon kapja magát az ember, hogy nem működik. Az annyira nyilvánvaló félreírásokat a visudo script (ez nem csak vi-t tud használni, hanem az EDITOR env-ben lévő bármilyíen szövegszerkesztőt) kiszűri, de csak minimálisan, nem mindet.
Sajnos ezek az ősrégi linuxos és unixos toolok nem felhasználóbarátak, nem megbocsátóak, egyáltalán nem hülyebiztosak. Valamit benéz az ember, és bőgés lesz a vége, pl. dd-nél elnézi valaki a /dev/akármi nevet, és beszántja egy fontos partícióját, vagy pl. velem már nem egyszer megesett, hogy chown, vagy chmod rekurzív kiadását (-R kapcsoló) félregépeltem, és tönkretette az egész jogosultságokat a /-től kezdve, pl. most 1 hete a sudo chmod -x -R parancsot a ./ mappára (azaz jelenlegi mappára) akartam kiadni, de véletlenül /. formában gépeltem be fordítva, erre szétcseszte megint az egész fájlrendszert, amit sikerült helyrehozni, de nem kis szopás volt. Persze vannak már ezeknek a parancsoknak --preserve-root kapcsolói, de nem defaultként. Oltári nagyokat lehet szopni, irgalmatlan könnyű benézni. Olvastam másoktól, akik HDD-n adták ki rosszul felparaméterezve a hdparm parancsot, ami low level firmware szinten eszközöl módosításokat, és az egész meghajtót téglásították, még firmware frissítéssel sem lehetett helyrehozni. Ezek veszélyes toolok, nagyon kell tudni mit csinál az ember.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
su
- A hozzászóláshoz be kell jelentkezni