Εκτέλεση εντολής με sudo ως συγκεκριμένος χρήστης

[tuxx]

Καλημέρα σε όλους.

Προσπαθώ να εκτελέσω συγκεκριμένες εντολές από το command prompt του root αλλά ως διαφορετικός χρήστης.

Ο υπάρχων χρήστης είναι ο user1 για τον οποίον έχω την παρακάτω γραμμή στο /etc/sudoers:

Κώδικας:

user1 ALL=(ALL) ALL

Παίρνω κονσόλα λοιπόν ως root και δίνω:

Κώδικας:

sudo -u user1 whoami

το αποτέλεσμα είναι

Κώδικας:

user1

Συνεχίζω τώρα και προσπαθώ να δώσω άλλες εντολές όπως pacman -Syu (δουλεύω σε arch), mount κλπ, το αποτέλεσμα είναι:

Κώδικας:

sudo -u user1 pacman -Syu

Κώδικας:

error: you cannot perform this operation unless you are root.

Εδώ διαπιστώνω ότι κάτι δεν έχω καταλάβει σωστά, γιατί κανονικά θα έπρεπε να με ρωτάει το password του user1 και να εκτελει την εντολή.

Όλα αυτά φαντάζουν κάπως άσκοπα, αλλά ο τελικός σκοπός είναι να εκτελεί συγκεκριμένες εντολές ο user http (ο ανάλογος του www-data σε debian και άλλες διανομές), μέσα από php script και χρήση nginx.

Έχετε καμιά ιδέα πως θα δουλέψει το pacman στο παραπάνω σενάριο;

Ευχαριστώ εκ των προτέρων.

- - - Updated - - -

Μετά από 100000 δοκιμές, έδωσα την παρακάτω και δούλεψε:

Κώδικας:

sudo -u user1 sudo pacman -Syu

και επιτελους ζητάει τον κωδικό του user1.

Παρόλα αυτά μου φαίνεται παρανοική η παραπάνω σύνταξη. Χρησιμοποιεί δηλαδή το sudo -u απλά για να εξομοιώσει τον user και μετά θέλει και ένα δεύτερο sudo.

Τι στο καλό συμβαίνει;

[MitsakosGR]

Πρέπει να φανταστείς λίγο την εντολή sudo σαν ο ίδιος χρήστης να παίρνει τα δικαιώματα κάποιου άλλου. Έτσι, όταν είσαι στον user1 και τρέχεις sudo στην ουσία επιτρέπεις στον user1 να τρέξει μία εντολή με τα δικαιώματα του root (ή όποιου άλλου χρήστη έχει οριστεί).
Όταν είσαι συνδεδεμένος σαν user1, τρέχοντας

Κώδικας:

sudo pacman -Syu

παίρνεις δικαίωμα να τρέξεις το pacman αλλά με δικαιώματα root. Αν απλά τρέξεις `pacman -Syu` δεν θα στο επιτρέψει.

Τρέχοντας την εντολή

Κώδικας:

sudo -u user1

στην ουσία τρέχεις κάτι με τα δικαιώματα του user1. Ο user1 όμως δεν έχει δικαίωμα να τρέξει το pacman. Για αυτό και το error.

Τρέχοντας

Κώδικας:

sudo -u user1 sudo pacman -Syu

παίρνεις από τον root δικαίωμα να τρέξεις κάτι σαν user1 και από τον user1 ζητάς το δικαίωμα να τρέξεις κάτι σαν root. Έτσι φαίνεται ότι την εντολή την έτρεξε ο user1 αλλά με ίδια δικαιώματα, σαν να ήταν root.

[tuxx]

Σε ευχαριστώ πολύ. Ήταν λάθος αυτό που είχα καταλάβει για το -u option. Νόμιζα ότι αρκεί για να τρέξει η εντολή με χρήστη τον user1 και τα ορισμένα δικαιώματά του στο sudoers, ενώ απλά προσομοίωνε το χρήστη και ήθελε και το δεύτερο sudo.

[imitheos]

Σε ευχαριστώ πολύ. Ήταν λάθος αυτό που είχα καταλάβει για το -u option. Νόμιζα ότι αρκεί για να τρέξει η εντολή με χρήστη τον user1 και τα ορισμένα δικαιώματά του στο sudoers, ενώ απλά προσομοίωνε το χρήστη και ήθελε και το δεύτερο sudo.

Είναι όπως σου το εξήγησε ο mitsakos. Η su (και κατ επέκταση και η sudo) όπως λέει και το όνομά της (substitute user) τρέχει κάτι σαν άλλος χρήστης. Για να μπορεί όμως να τρέξει αυτό το κάτι πρέπει ο χρήστης κάτω από την ομπρέλα του οποίου θα τρέξει να μπορεί να το τρέξει. Δεν σου πέρασε αυτό από το μυαλό γιατί στο 99% των περιπτώσεων χρησιμοποιούμε τα su / sudo για να αλλάξουμε από ένα χρήστη στον root ο οποίος μπορεί να τρέξει τα πάντα.

Όταν όμως αλλάξεις από root σε κάποιο χρήστη, τότε είναι δυνατόν να μην μπορεί να τρέξει κάποια λειτουργία. Επίσης μια άλλη διαφοροποίηση είναι ότι δεν σου ζητάει κωδικό όταν αλλάζεις από root σε κάποιο χρήστη επειδή ο root είναι πιο δυνατός χρήστης οπότε σου λέει δεν χρειάζεται να ζητήσει κωδικό. Για αυτό περίμενες να σου ζητήσει κωδικό και δεν το έκανε.

Το sudo σου δηλαδή έτρεχε σωστά και άλλαζε το περιβάλλον σαν να είσαι user1 όπως είδες και με το whoami. Το pacman όμως για να αναβαθμίσει την βάση του με τα προγράμματα πρέπει να γράψει σε καταλόγους που δεν έχει άδεια ο user1 οπότε δεν μπορεί να παίξει. Για αυτό το λόγο προνόησαν οι devs του και έχουν βάλει έλεγχο αν πας να το τρέξεις σαν απλός χρήστης να μην τρέχει. Το μήνυμα λάθους δηλαδή που έπαιρνες ήταν του pacman και όχι του sudo.

Αν οι εντολές που θέλεις να τρέξεις δεν είναι γενικά διάφορες εντολές αλλά συγκεκριμένα ο pacman τότε ο δόκιμος τρόπος είναι να ψάξεις πώς γίνεται αυτό μέσα από τον pacman και όχι μέσα από το sudo. Για παράδειγμα, η portage του gentoo έχει άδειες portageortage και όλο το χτίσιμο γίνεται επίσης σαν αυτός ο χρήστης. Έτσι λοιπόν αν βάλουμε ένα χρήστη στην ομάδα portage θα μπορεί και να τρέχει το αντίστοιχο του pacman -Sy για να ανανεώσει την βάση με τα προγράμματα και θα μπορεί να χτίσει κιόλας (φυσικά μέχρι το στάδιο της εγκατάστασης όπου εκεί θα του ζητήσει τον κωδικό για να γυρίσει σε root). Θα ψάξεις στο archwiki μήπως και ο pacman έχει υποστήριξη για να τρέχει σαν απλός χρήστης (τουλάχιστον κάποιες λειτουργίες του)

[KernelPanic]

σκοπός είναι να εκτελεί συγκεκριμένες εντολές ο user http (ο ανάλογος του www-data σε debian και άλλες διανομές), μέσα από php script και χρήση nginx.

Μόνο προσεξε να το κανεις οσο ποιο συγκεκριμένο μπορείς γιατι βλέπω το vulnerabilty για priviledge escalation μέσω web στην γωνία...

[tuxx]

Είμαι κάθετα αντίθετος προσωπικά σε αυτό στο οποίο αναφέρεσαι (εννοω access σε root εντολές μέσω web interface), αλλά βοηθάω έναν φίλο που κάνει τη δική του υλοποίηση. Έχει προειδοποιηθεί για το κενό ασφαλείας και δεν τον ενδιαφέρει, οπότε δεν ενδιαφέρει ούτε και μένα

Ευχαριστώ πολύ πάντως για την επισήμανση.

[KernelPanic]

Είμαι κάθετα αντίθετος προσωπικά σε αυτό στο οποίο αναφέρεσαι (εννοω access σε root εντολές μέσω web interface)

- - - Updated - - -

Έχει προειδοποιηθεί για το κενό ασφαλείας και δεν τον ενδιαφέρει, οπότε δεν ενδιαφέρει ούτε και μένα

θα πρότεινα επίσης να τον βοηθήσεις να κλείσει τα κενα ασφαλείας. Θεωρώ πως το θέμα της ασφάλειας είναι θέμα όλων μας και πρέπει να κάνουμε οτι καλύτερο μπορεί ο καθενας γι' αυτο.