forum.opennet.ru - "Управление IPFW любым пользователем" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Управление IPFW любым пользователем"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Управление IPFW любым пользователем"
Сообщение от Ged (ok) on 24-Янв-07, 18:23
Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Управление IPFW любым пользователем, newser, 18:37 , 24-Янв-07, (1)

Управление IPFW любым пользователем, Ged, 12:48 , 26-Янв-07, (3)

Управление IPFW любым пользователем, Wing, 18:48 , 24-Янв-07, (2)

Управление IPFW любым пользователем, Ged, 12:52 , 26-Янв-07, (4)

Управление IPFW любым пользователем, MoHaX, 13:48 , 26-Янв-07, (5)

Управление IPFW любым пользователем, Happy_demon, 14:02 , 26-Янв-07, (6)

Управление IPFW любым пользователем, Batva, 14:39 , 26-Янв-07, (7)

Управление IPFW любым пользователем, Nimdar, 14:44 , 26-Янв-07, (8)

Управление IPFW любым пользователем, Batva, 15:00 , 26-Янв-07, (9)

Управление IPFW любым пользователем, Nimdar, 15:07 , 26-Янв-07, (10)

Управление IPFW любым пользователем, Batva, 15:09 , 26-Янв-07, (11)

Сообщения по теме [Сортировка по времени, UBB]

1. "Управление IPFW любым пользователем"

Сообщение от newser (ok) on 24-Янв-07, 18:37

>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
Не надо этого хотеть. Оставьте это root'у.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Управление IPFW любым пользователем"

Сообщение от Ged (ok) on 26-Янв-07, 12:48

>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>
>Не надо этого хотеть. Оставьте это root'у.
Ответ не сильно серьезный. Нужно...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Управление IPFW любым пользователем"

Сообщение от Wing (??) on 24-Янв-07, 18:48

>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?

man sudo

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Управление IPFW любым пользователем"

Сообщение от Ged (ok) on 26-Янв-07, 12:52

>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>
>
>man sudo
Ништяк...
# man sudo
No manual entry for sudo
You have new mail.
Я правильно понял что идея отдать пользователю пароль рута? Меня интересует, чтобы пользователь просто мог поправить нужные ему правила.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Управление IPFW любым пользователем"

Сообщение от MoHaX (??) on 26-Янв-07, 13:48

>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>>
>>
>>man sudo
>Ништяк...
># man sudo
>No manual entry for sudo
>You have new mail.
>
>Я правильно понял что идея отдать пользователю пароль рута? Меня интересует, чтобы
>пользователь просто мог поправить нужные ему правила.

cd /usr/ports/security/sudo
make install clean
rehash
man sudo

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Управление IPFW любым пользователем"

Сообщение от Happy_demon (??) on 26-Янв-07, 14:02

>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
здесь же на opennet'e
IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль?
# sudoers file.
User_Alias OPERATOR = igor,ochersv
Cmnd_Alias USERMAN = /usr/sbin/useradd *, /usr/sbin/adduser *,
/usr/sbin/userdel *, /usr/bin/passwd *, !/usr/bin/passwd root,
/usr/sbin/usermod *, !/usr/sbin/usermod *root, !/usr/sbin/userdel root
OPERATOR  ALL = NOPASSWD: USERMAN

Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять,
добавлять, менять пароли всем кроме root) без ввода пароля.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Управление IPFW любым пользователем"

Сообщение от Batva on 26-Янв-07, 14:39

>>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW?
>здесь же на opennet'e
> IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль?
>
># sudoers file.
>User_Alias OPERATOR = igor,ochersv
>Cmnd_Alias USERMAN = /usr/sbin/useradd *, /usr/sbin/adduser *,
>/usr/sbin/userdel *, /usr/bin/passwd *, !/usr/bin/passwd root,
>/usr/sbin/usermod *, !/usr/sbin/usermod *root, !/usr/sbin/userdel root
>OPERATOR  ALL = NOPASSWD: USERMAN
>
>
>Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять,
>добавлять, менять пароли всем кроме root) без ввода пароля.
При таком решении пользователь будет иметь доступ не только к ipfw,
и не только к определённым правилам, а это есть угроза безопасности.
Доверяете-ли вы этому пользователю?
Полней опишите задачу, есть более безопасные решения.
Например связка WWW + cron

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Управление IPFW любым пользователем"

Сообщение от Nimdar (ok) on 26-Янв-07, 14:44

> Например связка WWW + cron
Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И это по вашему более безопасно?
# sudoers file.
User_Alias OPERATOR = igor
Cmnd_Alias IPFW = /sbin/ipfw
OPERATOR  ALL = IPFW
Пользователь igor имеет только право изменять правила ipfw и больше ничего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Управление IPFW любым пользователем"

Сообщение от Batva on 26-Янв-07, 15:00

>> Например связка WWW + cron
>Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И
>это по вашему более безопасно?
>
># sudoers file.
>User_Alias OPERATOR = igor
>Cmnd_Alias IPFW = /sbin/ipfw
>OPERATOR  ALL = IPFW
>
>Пользователь igor имеет только право изменять правила ipfw и больше ничего.
А если это не просто роутер? при вашем решении ползователь
имеет доступ к всем правилам, как хочет так и крутит.
WWW не рулит правилами, через WWW с авторизацией, можно поставить
метку которая разрешит добавить/удалить определённое правило в ipfw.
Само правило заготовлено админом и только оно, а не какоето другое.
cron запускает скрипт который смотрит на мету, есть делаем это, другая метка
делаем другое и т.д.
я пользуюсь таким решением, таймаут 10 сек. пользователь
это запаздывание практически не чуствует.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Управление IPFW любым пользователем"

Сообщение от Nimdar (ok) on 26-Янв-07, 15:07

Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат в полноценные админы в команде. И "как хочет" рулить не может, в противном случае админ, давший ему права идиот. Автор к таковым вряд ли относится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Управление IPFW любым пользователем"

Сообщение от Batva on 26-Янв-07, 15:09

>Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат
>в полноценные админы в команде. И "как хочет" рулить не может,
>в противном случае админ, давший ему права идиот. Автор к таковым
>вряд ли относится.
=) разные задачи, разные пользователи, я только предлагаю вариант решения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Управление IPFW любым пользователем"
Сообщение от newser (ok) on 24-Янв-07, 18:37
>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? Не надо этого хотеть. Оставьте это root'у.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Управление IPFW любым пользователем"
	Сообщение от Ged (ok) on 26-Янв-07, 12:48
	>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? > >Не надо этого хотеть. Оставьте это root'у. Ответ не сильно серьезный. Нужно...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Управление IPFW любым пользователем"
Сообщение от Wing (??) on 24-Янв-07, 18:48
>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? man sudo
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Управление IPFW любым пользователем"
	Сообщение от Ged (ok) on 26-Янв-07, 12:52
	>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? > > >man sudo Ништяк... # man sudo No manual entry for sudo You have new mail. Я правильно понял что идея отдать пользователю пароль рута? Меня интересует, чтобы пользователь просто мог поправить нужные ему правила.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Управление IPFW любым пользователем"
	Сообщение от MoHaX (??) on 26-Янв-07, 13:48
	>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? >> >> >>man sudo >Ништяк... ># man sudo >No manual entry for sudo >You have new mail. > >Я правильно понял что идея отдать пользователю пароль рута? Меня интересует, чтобы >пользователь просто мог поправить нужные ему правила. cd /usr/ports/security/sudo make install clean rehash man sudo
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Управление IPFW любым пользователем"
	Сообщение от Happy_demon (??) on 26-Янв-07, 14:02
	>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? здесь же на opennet'e IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль? # sudoers file. User_Alias OPERATOR = igor,ochersv Cmnd_Alias USERMAN = /usr/sbin/useradd , /usr/sbin/adduser , /usr/sbin/userdel , /usr/bin/passwd , !/usr/bin/passwd root, /usr/sbin/usermod , !/usr/sbin/usermod root, !/usr/sbin/userdel root OPERATOR ALL = NOPASSWD: USERMAN Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять, добавлять, менять пароли всем кроме root) без ввода пароля.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Управление IPFW любым пользователем"
	Сообщение от Batva on 26-Янв-07, 14:39
	>>>>>Как можно сделать, чтобы определенный пользователь мог изменять правила в IPFW? >здесь же на opennet'e > IM> 1 Какой синтаксис будет у sudo если я хочу поменять пароль? > ># sudoers file. >User_Alias OPERATOR = igor,ochersv >Cmnd_Alias USERMAN = /usr/sbin/useradd , /usr/sbin/adduser , >/usr/sbin/userdel , /usr/bin/passwd , !/usr/bin/passwd root, >/usr/sbin/usermod , !/usr/sbin/usermod root, !/usr/sbin/userdel root >OPERATOR ALL = NOPASSWD: USERMAN > > >Парни с алиасом OPERATOR могут выполнять команды USERMAN (удалять, >добавлять, менять пароли всем кроме root) без ввода пароля. При таком решении пользователь будет иметь доступ не только к ipfw, и не только к определённым правилам, а это есть угроза безопасности. Доверяете-ли вы этому пользователю? Полней опишите задачу, есть более безопасные решения. Например связка WWW + cron
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Управление IPFW любым пользователем"
	Сообщение от Nimdar (ok) on 26-Янв-07, 14:44
	> Например связка WWW + cron Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И это по вашему более безопасно? # sudoers file. User_Alias OPERATOR = igor Cmnd_Alias IPFW = /sbin/ipfw OPERATOR ALL = IPFW Пользователь igor имеет только право изменять правила ipfw и больше ничего.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Управление IPFW любым пользователем"
	Сообщение от Batva on 26-Янв-07, 15:00
	>> Например связка WWW + cron >Вы предлагаете на роутере, например, поднимать web-сервер и рулить им фаером? И >это по вашему более безопасно? > ># sudoers file. >User_Alias OPERATOR = igor >Cmnd_Alias IPFW = /sbin/ipfw >OPERATOR ALL = IPFW > >Пользователь igor имеет только право изменять правила ipfw и больше ничего. А если это не просто роутер? при вашем решении ползователь имеет доступ к всем правилам, как хочет так и крутит. WWW не рулит правилами, через WWW с авторизацией, можно поставить метку которая разрешит добавить/удалить определённое правило в ipfw. Само правило заготовлено админом и только оно, а не какоето другое. cron запускает скрипт который смотрит на мету, есть делаем это, другая метка делаем другое и т.д. я пользуюсь таким решением, таймаут 10 сек. пользователь это запаздывание практически не чуствует.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Управление IPFW любым пользователем"
	Сообщение от Nimdar (ok) on 26-Янв-07, 15:07
	Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат в полноценные админы в команде. И "как хочет" рулить не может, в противном случае админ, давший ему права идиот. Автор к таковым вряд ли относится.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Управление IPFW любым пользователем"
	Сообщение от Batva on 26-Янв-07, 15:09
	>Если пользователю дают sudo - значит пользователь либо помощник админа, либо кандидат >в полноценные админы в команде. И "как хочет" рулить не может, >в противном случае админ, давший ему права идиот. Автор к таковым >вряд ли относится. =) разные задачи, разные пользователи, я только предлагаю вариант решения.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]