Forum Debian Users Gang

Nie wiem co rozumiesz przez „op”.

Sudo pozwala na uruchamianie aplikacji bez podawania hasła.

Kiedyś było coś takiego jak bit SUID, ale generalnie jest niebezpieczne, odradzane, złe, grzeszne i niezdrowe.

trzcionek napisał(-a):

Powód dlaczego was o to pytam to lista pytań do opracowania na studia i jednym z pytań jest:
Wymień możliwość przekazania użytkownikowi nie-root uprawnień użytkownika root.

Nie wiem na ile zaawansowane zagadnienia przerabiacie, ale jeśli to do szkoły, to myślę że najbardziej standardowe operacje wystarczą. Czyli:
1. sudo (+op o którym wspominasz; być może istnieją jeszcze inne podobne aplikacje)
2. SUID
3. Wyekspoitowane dziury w kernelu ;) .

To może jeszcze jedno pytanie.
Jak założyć konto użytkownika z ograniczonym zestawem narzędzi i programów do wykorzystania?

Zależy co rozumiesz przez „ograniczony zestaw narzędzi i programów”. W sensie ograniczeniem jakiego zbioru ma być.

Jeżeli chcesz żeby user miał dostęp do części narzędzi do których normalnie dostęp ma tylko root, to sudo i podobne.

Jeżeli chcesz żeby user miał dostęp do części narzędzi do których normalnie ma dostęp (/usr/ i /bin/), wtedy chyba musisz go logować do zchrootowanego środowiska. Ewentualnie można odebrać wszystkiemu co istnieje prawo do wykonywania przez wszystkich, a następnie każdej binarce zmienić grupę na jej nazwę (czyli /usr/bin/evince znajdzie się w grupie evince i tak dalej). Wreszcie użytkownika dodać do tych grup, do jakich programów ma mieć dostęp.

Teoretycznie powinno działać, ale roboty z tym od cholery. Oczywiście można tworzyć szersze grupy (np. „graficzne”, „muzyka” etc.), ale problem się pojawi gdy jeden użytkownik ma mieć dostęp do jednego i tylko jednego programu z danej grupy (np. tuxpainta ale już nie gimp-a, podczas gdy zarówno gimp jak i tuxpaint są w grupie „graficzne”).