Архив форумов ЦИТФорума

[aorazberdiev]

Как можно в Solaris8 дать отдельному простому юзеру право только на команду shutdown (init 5)

[michael_sm]

Есть такая штука: Roled Base Access Control (или что-то в этом роде). И в docs.sun.com есть рассказы про данную задачу.
Я пробовал проделать такое (прямо по шагам, читая документ) но до конца не довёл.

[Avalanche]

Да именно RBAC
Можешь через smc это всё сделать
Завтра подробней напишу.

[Avalanche]

Вообщем есть несколько вариантов
А именно
1. Access Control List(ACLs)
2.Role-Based Access Control(RBAC)
3.Smarcard Authentification – почти не используется и действует на сколько помню только в графической среде.
4. Воспользоваться SETUID битом
Мне из всего этого больше нравиться RBAC
Короче вот так можно через RBAC:
# roleadd –u 5000 –g 10 –m –d /export/home/sdown sdown
# passwd sdown
#vi /etc/security/prof_attr
Добавить туда роль Shut:::Able to shutdown the system:
#rolemod –P Shut sdown
#useradd –u 4009 –g 10 –m –d /export/home/user9 –s /bin/ksh –R sdown user9
#passwd user9
#vi /etc/security/exec_attr
Добавить Shut:suser:cmd:::/usr/sbin/shutdown:uid=0
После этого под User9
#su sdown
И вуаля shutdown доступен
Тоже самое можно сделать и через smc но это не для нас
По ACL читайте man getfacl and setfacl

[Dmitry_Karpov]

На FreeBSD это выглядит так:
программа /sbin/shutdown имеет бит SetUID->root и права запуска для владельца root и группы operator, а остальным - фиг. Так что достаточно включить юзера в группу operator, и он сможет шатдаунить систему.

На всякий случай (если в Solaris что-то не так) даю набор команд:
chown root:operator /sbin/shutdown
chmod 4550 /sbin/shutdown
и дальше добавить имя юзера в файл /etc/group в строку, начинающуюся с "operator".
_________________
Хочу в Хогвардс преподавателем информатики.