Dmitrii Kashin -> [email protected] @ Sat, 08 Sep 2012 23:11:35 +0400:
>> DK> Иными словами задача состоит в том, чтобы обычному пользователю, не >> DK> состоящему в группе sudo, дать возможность монтировать флешку с ntfs на >> DK> борту. >> >> Я в таких случаях обычно не ленюсь лишний раз глянуть в man sudoers и >> прописать разрешение "обычному пользователю" без пароля выполнять >> конкретную команду. Или, как в данном случае, две. Нет, я понимаю, что >> лишних пять символов вводить тоже лень. Поэтому у меня alias 0="sudo ", >> и лишних символов остается только два. DK> На данный момент у меня (ленивого, конечно) в sudoers написано: DK> -------------------- DK> ... DK> %users ALL= (root) NOPASSWD: /bin/mount /mnt/*, /bin/umount /mnt/* DK> ... DK> -------------------- DK> Вы, я так понимаю, именно это мне и предлагаете. DK> Однако мне кажется, что должна быть возможность обойтись без DK> делегирования рутовых прав пользователю. Дык эта, sudo, в отличие от su, делегирует рутовые права не пользователю, а запущенному оным пользователем процессу. Чтобы вызвать mount(2), это в любом случае надо сделать, так или иначе. Ради опции user, и только ради нее /bin/mount имеет установленный suid-бит. Это Вас не пугает? Ну вот, собственно, в ругани предлагали поставить suid еще на хелпер ntfs-3g, в дополнение к mount (возможно, предварительно пересобрав его). Заметим, сам /bin/mount ведет себя разумно параноидально - ему надо запустить какой-то левый хелпер, он и сбрасывает рута, на всякий случай. Подозреваю, что не просто так. Я подозреваю, что вариант с sudo окажется более безопасным, чем suid на mount.ntfs-3g, потому что самозащиту оного хелпера проверяли куда меньше, чем самозащиту mount и sudo. Я, в частности, сильно сомневаюсь, что он вообще умеет смотреть в fstab. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
