Thadeu Penna wrote:
> On Tue, 1 Mar 2005, Marcos Vinicius Lazarini wrote:
>
>>Thadeu Penna wrote:
>>>Imagine a seguinte situa��o (testei aqui):
>>>a) exporte um volume por NFS com root_squash (default)
>>>b) monte na m�quina cliente
>>>c) algu�m com acesso de root na cliente tenta apagar seus arquivos
>>> su
>>> # rm teste.dat
>>> rm: impos�vel remover `teste.dat': Permiss�o negada
>>> excelente.. o root_squash funciona
>>>d) su - operador n�o funciona (operador � uma conta no NIS)
>>>e) mas sudo su - operador, quebra todas as prote��es :(
>>Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso
seria o mesmo que fazer a seq. abaixo?
>>$ su
>>...
>># su - operador
>
>
> N�o, pois a� pede-se n�o a senha do root mas a do usu�rio operador ;)
Foi surpresa pra mim tamb�m..
Meu... ainda nao consegui captar.... Em todo o caso, tentei fazer o que
vc disse:
------------
[EMAIL PROTECTED]:~$ su - rodrigo
Password: <senha do rodrigo>
[EMAIL PROTECTED]:~$
------------
[EMAIL PROTECTED]:~$ sudo su - rodrigo
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password:
laza is not in the sudoers file. This incident will be reported.
[EMAIL PROTECTED]:~$
------------
Estou fazendo alguma coisa errada? n�o consigo furar o esquema... Ser�
que seu /etc/sudoers n�o est� com problemas? Veja meu /etc/sudoers (BTW,
a permiss�o dele � 440):
-----------------
# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL) ALL
-----------------
Em ultimo caso, remova o sudo... :-)
>>Se vc est� desconfiado, talvez seja mais interessante fazer uma
experiencia e
>>montar as particoes via SMBFS ou ent�o limitar acesso de root no cliente
(atraves do pr�prio sudo, ou adjacencias) - isso se a m�quina nao for um
laptop do usu�rio.
>
>
> O problema � que pode ser um laptop do usu�rio :(
Pois �.... bom, ai fica dificil - pra evitar isso, s� colocando ele numa
outra sub-rede, ou numa faixa de IPs que o /etc/exports n�o autoriza. Mas
ai o usu�rio legitmo fica impedido.... ai temos um impasse, que n�o sei
como resolver.
--
Marcos
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
