MEGOLDVA: Sudo XP-re

Microsoft Windows

...vagy hasonlo.
Program telepitve rg joggal, normal userrel nem fut. (Normal userkent telepitve hibakkal kilep). Szeretnem, ha a normal user is tudna futtatni rg joggal, de jelszo beirasa nelkul. Van erre valakinek otlete?

Update: Zebra irasa alapjan:
runas /savecred
a helyes, reboot utan is mukodik.

  • 2245 megtekintés

( Csigaa | 2010. 05. 22., szo – 11:38 )

Windowsban elég szépen lehet szabályozni hogy melyik user *pontosan* mihez férhet hozzá (group policy-vel is, de sztem a 'control userpasswords2' parancsot nézd meg először, ott is lehet rendesen állítgatni), a "rendszergazda/nemrendszergazda" elválasztás és ennek a szabályozására gányolt sudo inkább a Linux/UNIX sajátja.

Nem tudom. Az a baj, hoyg most ellenorizni sem tudom. Vagyis meg tudom nezni egy ....hoppa, Virtualbox, XP es kiprobalom.

Voltakeppen a Nyenyi 2009 proggirol van szo, normal userkent telepitve egyszercsak a "hiba tortent, leallok" jon, ha meg rendszergazdakent rakom fel, akkor normal user el sem indithatja.

1, Általános feladatok linuxban nem igényelnek rendszergazdai lehetőséget (normal, no security extension, acl stb). Amik igényelnek, azok _rendszergazdai_ jogot és feladatot/felelőséget igényelnek, azaz kell, hogy tudjon dönteni az ember, és ellenőrizhető legyen.
2, A legtöbb windowsra megírt program olyan gányúl van megírva hogy _bár nem lenne feltétlenül szükséges_ de a legegyszerűbb rendszergazdaként futtatni. Ez főleg igaz a még most elterjedt windows xp-re.
Ezek a félrevezetők benne, a sugallat, és ahogy ezt leírod, az a nagyképű.

"1, Általános feladatok linuxban nem igényelnek rendszergazdai lehetőséget (normal, no security extension, acl stb). Amik igényelnek, azok _rendszergazdai_ jogot és feladatot/felelőséget igényelnek, azaz kell, hogy tudjon dönteni az ember, és ellenőrizhető legyen."

Pl. örülnék ha a userk tudná mindenféle gány SUID wrapper nélkül állítgatni a sambát, de úgy, hogy csak adott (általam engedélyezett) beállításokat írhasson át, mást ne. Ez egy teljesen normális igény (pl. megosztott mappát adhasson hozzá, workgroupot viszont ne állítson át), mégse lehet, mert a smb.conf-ot vagy teljesen írhatja, vagy sehogy.
A sudo meg szintén lehetetlenül béna. Most vagy jogom van a parancsra (és akkor mindenféle hókuszpókusz nélkül beírom és megy) vagy nincs, akkor meg megtagadja a hozzáférést. A sudo parancs csak egy gusztustalan workaround a finomhangolt jogkezelés teljes hiányára.

"2, A legtöbb windowsra megírt program olyan gányúl van megírva hogy _bár nem lenne feltétlenül szükséges_ de a legegyszerűbb rendszergazdaként futtatni. Ez főleg igaz a még most elterjedt windows xp-re."

Most idézzelek? Tőled valóban "ijesztően nagyképű és félelmetesen félrevezető hozzászólást olvashattunk."
(ez ugyanis nemes egyszerűséggel nem igaz -- évek óta használok XP-t korlátozott userrel, semmi gondom nincs vele)
Ha nem értesz hozzá, és neked a legegyszerűbb ostorral bekapcsolni meg téglával kikapcsolni a TV-t (végülis működik a dolog, meg nem kell megjegyezni, hogy mit csinál az a piros gomb ott rajta) akkor hajrá. De ezt azért ha lehet, ne terjeszd és hangoztasd........

Ha jól gondolom akkor a samba az 1 szerver program, semmi köze hozzá az usernek. Mellesleg a probléma megoldható hint: smb.conf include, feldolgozó program kérdése.

A mostani problémát követve el tudnád magyarázni hogy a postíró miért jutott erre a megoldásra?
Előrebocsájtom: azt fogod mondani nem ért hozzá..

Nem azt mondtam hogy nincs szarul megírt program (csodálkoznék is ha nem a NYENYI lenne, egy olyan országban ahol a clipperben DOS-ra írt szoftvereknek 2010-ben komoly piaca van). Azt mondtam, hogy amit te állítasz (hogy a többség ilyen) az nem igaz; elvétve nagy ritkán találni ilyeneket (ld. lejjebb is).

Include-olt fileba AFAIK bármilyen direktíva írható de javíts ki ha tévedek.

Igen, erről beszélek... valami kéne a textfile-os configok helyett ilyen esetekre mert a kerülgetés bonyolult és időigényes. De ez már tényleg nem témába vág.

szerk: valójában az hogy miben tárolja, mindegy, akár textfile/XML is lehet a backend... a központi infrastruktúra hiányzik amivel ilyen jogkezelést *általánosan* meg lehet valósítani, nem minden alkalmazás saját SUID-os kezelőt használ aztán az vagy települt vagy nem (pl. KDE-nek külön van ilyen de az GNOME-ból nem elérhető, stb)

Ehh. Te operációs rendszer alapfunckiónak tekintel 1 filemegosztás kezelő szervert. A megosztás megadása igen érzékeny feladat.
A másik történet, ha ezt céges környezetben használatra tervezik (ezt sem értem, de hagyjuk) 2 perc írni 1 olyan programot ami feldolgoz egy ilyen file-t és megfelelő módon includolva teljesen korrektül. Ezen kívül 300 mód van arra, hogy ezt szépen megvalósítsd, egyszerűen idegen tőled a toolbox megoldás. Ezért kijelented, hogy szar a sudo funkció, mivel szted a samba nevű folyamatban vannak olyan részek _amik_ szerinted nem igényelnek rendszergazdai kompetenciát, de sudo-val nem lehet megoldani. Valamint az egyetlen és threadben is megjelenő problémát egyszerűen kineveted.
Lehet jól üzemeltetni windows-t nincs ez kizárva, de kijelenteni, hogy csak az itt alkalmazott jó mód iszonyatos arroganciára utal, és félrevezető.
Majd mikor valaki rámutat, hogy a kifogásolt dolog 1, rendszergazdai tevékenység 2, meg lehet oldani, hogy funkció részeit felhasználók konfigurálják, de ehhez kell segédeszköz kell akkor kijelented, ezért szar az egész.

A jogkezelés kapcsán két dologról volt szó:
1. sudo - ezt nem a samba miatt mondtam hogy szar, hanem a koncepció miatt (ha átgondolod hogyan működik, látod, hogy workaround, szerintem nem kerülgetni kéne a jogkezelést hanem implementálni)
2. programok beállításai (nem csak a samba): jó lenne ha lenne erre központi felület (nem GUI, hanem módszer), és nem mindegyik sw-hez ezerféle, teljesen különböző módon működő félmegoldást kéne alkalmazni

"Ezért kijelented, hogy szar a sudo funkció, mivel szerinted a samba (...)" -- ezt nem tudom honnan szedted, egy szóval sem mondtam. A problémáimat ld két sorral feljebb.

"Valamint az egyetlen és threadben is megjelenő problémát egyszerűen kineveted." -- ??

Nem azt mondtam, hogy az egyetlen és jó megoldás a Windowsé. Azt mondtam, hogy a finomhangolható felhasználói jogkezelés Linuxban nem létezik rendszerszinten, csak workaroundok (sudo, SUID-os "include beíró" programok, stb) által. Ami ha objektíven nézed, bizony elég csúnya "megoldása", megkerülése a problémának.

A sudo-val nincs baj, azt tudja amit kell, rendszergazdai módba történő váltást, az aktuális feladat idejére, az adott program tekintetében az engedélyezett felhasználók részére, anélkül hogy a felhasználó rendszergazdává válna. Ennyi. Nem több, szükséges program.
Amit te workaroundnak hívsz azt más LFH-nak és toolbox modellnek, amit sokan szeretnek. Egyébként sajnálatos módon az egyes disztribúciók ezen feladatokat illetve a gyakorta végzendő feladatok nagy részét kiszervezik a saját beállító programjukba.

Értem. Nekem ez esetben nem tetszik a Linux által alkalmazott modell, ami végülis abból áll, hogy van aki mindenhez hozzáfér, és van aki senkihez, és az utóbbiak bizonyos feladatokhoz kapnak jogot a "mindenhez".

Nekem jobban bejön ha be van határolva, *pontosan* melyik funkciókat használhatja az adott user v. csoport, tehát ha nem kivételezés hanem feladatkörök alapján szabályozunk; illetve nem kell kivételt "kérni" ('sudo $PARANCS' simán '$PARANCS' helyett)

Lehet, hoyg rosszul emlekszem, de talan sudo alkalmazhato csoportokra is (at kellene neznem a mant) es nemcsak arra, hoyg rg jogot kapjon valaki, bar legnagyobbreszt erre hasznaljak.

En mondjuk meg az elso Linuxos tapasztalataim alkalmaval megismertem, mert kellett valami, hogy ne csak a root tudja atirni a postfix-et (ha valaki emlekszik: havidij a netert, de a freemail ingyenes, szoval a "smarhost" bejegyzes atirasa, ha a freemailhez tarcsazott be az ember, sudo postconf volt a megoldas). Akkoriban egesz jol megismerkedtem vele, dehat a sajat gepemen nem volt szuksegem mas usereknek jogot adni, csak magamnak az rg dolgokhoz.

"...végülis abból áll, hogy van aki mindenhez hozzáfér, és van aki senkihez..."

bocs de ez nem így van, a sudo-val nem kap meg minden jogot, hanem adhatok root jogot pl. csak egy bináris futtatására, attól még nem fog tudni root-ként operálni ezen kívül.

a jogköröket is lehet árnyalni a csoportok segítségével, lásd. pl.: adm csoport némely log fájl olvasásához.

feljebbihez tudok +1-ezni, a sudo szerintem is azt csinálja amit kell, semmi többet, és nem is kell ennél többet. egy eszköz amit lehet használni, de nem szükséges, nincs az általam használt rendszerekbe alapból bebetonozva.

én meg ezt nem értem windows alatt. és ez miatt sok program nem megy admin jog nélkül rendesen.

( bsh | 2010. 05. 22., szo – 11:41 )

parancsikonon SHIFT+jobbkatt, és a menüben: futtatás másik flehasználóként

( uid_1526 | 2010. 05. 22., szo – 12:07 )

runas /savecred
XP Profon van, Home-on nincs, de ez szerintem egy elég nagy biztonsági lyuk.

( Celtic v | 2010. 05. 22., szo – 12:11 )

Nos, kiemelt userkent sem jo, csak rg csoporttagsaggal. A gond az, hoyg ezzel nemcska ehhez a proggihoz fer hozza rg joggal, hanem teljesen rg lesz. Megiscsak jo az a sudo, legalabbis elegansabb, mint suid bit.

Megprobalom Zebra tanacsat is.

Nehéz elképzelni, hogy rg csoporttagság kelljen.
Egy alkalmazás szükséges jogait a sysinternals-féle toolokkal (leginkább procmon) tudod leginkább kitalálni. Letöltöd, elindítod, és nézed, hogy mely fileokra/könyvtárra/registry ág megnyitására kap access denied-et. Azokra adsz mondjuk az users, interactive user stb. csoportnak/felhasználónak jogot és kész.
BTW amelyik felhasználói programnak több kell a futtatásához (nem telepítéséhez!) mint a sima user jogai, az szarul van megírva. Kb. 10 éve nem változtak nagyot az MS erre vonatkozó alapszabályai.

Nem tudom, mennyire ismerosek a Magyar Allami Szoftverhivatal termekei: abev, nyenyi, ugyfelkapu es egyeb kartevok.

Hetvegen nincs ahhoz kedvem, hogy kisakkozzam, miert nem megy vmelyik proggi, kedden be kellene ezt uzemelnem. runas /savecred tokeletesen eleg most, semmi humorom hozza, hogy a ket het mulva megjeleno verzioval ujra szetszivassam magam.

A tanacsot viszont koszi, procmon remlik, de csak egy pillantast vetettem ra emlekeim szerint.

En is igy tippelem. Nyilvan, ha baromi sok idom lenne a feladatra, megprobalnam maskent megoldani, sokkal biztonsagosabban. De jelenleg ennyi van, igy a legegyszerubb megoldast valasztottam.

(Ha valaki gepere nekem kell feltelepitenem a nyomtatot, nem hiszem, hoyg runas parancsot ismer, bar lehet, hoyg egyes paranoid rendszergazdak szerint ez csak trukk, hoyg elterelje a figyelmemet :) Konkret eset: konyvelo holgy, akinek az iwiw/facebook a net veleje, nem fog infobiztonsagi dolgokkal torodni, marmint olyan szinten, hoyg "hogyan hackeljem meg a gepemet, hoyg admin lehessek" )

Nem tudtam hogy ilyen jellegű (valójában semmilyen rendszerszintű feladatot nem végző) programról van szó, azért írtam a jogkezelésről.

Általában ha a usernek adsz írási jogot a telepítési mappára (vagy valamelyik almappára) akkor működnek ezek a szarok, mert soknak csak annyi a baja, hogy valami config file-t írogat oda, és nem képes ezt a Documents and settings alá vagy a user registrybe, mert lusta/dilettáns volt aki tervezte.

Sejtem en is, de tenyleg nincs kedvem vele sakkozni. VPN es VNC, ahogy eljutok ahhoz a gephez (persze, minimum sebessgu ADSL, 10 gepre) , HA eppen nem dolgozik vele a T. alkalmazott. Ez mellett nekem elegge be van tablazva a napom, szoval jelenleg az kell, hogy mukodjon minel egyszerubben (a ceg vezetoje kerte).

Ez most sajat gepemen VBOX-ban mukodik, ugyhogy nagyon megfelel.