Ok, deci nu-i place cu ACL/setuid. Ai mai multe variante.
1) Creezi niste exe-uri mici cu SUID/ACL cum am spus in mail-ul trecut, care face un setuid(0), setgid(0) etc si apoi face un exec pe ce vrei tu. 2) Introduci serviciile tale in baza de date pentru subsystems - in /etc/objrepos ai niste baze de date format ODM.Dintre care SRCsubsys contine subsistemele. Avantajul introducerii este ca poti manipula serviciile cu comenzile lssrc/startsrc/stopsrc etc. Introducerea o faci fie cu odmget/odmput fie daca ai acces pe un AIX 3.x ai utilitarul odme (sau odmedit) cu care poti edita direct bazele de date (evident, cu grija :-) ). Comenzile odm* cauta fisierele in directorul $ODMDIR, deci e bine sa il ai setat ODMDIR=/etc/objrepos. Apoi poti studia in ce masura le poti da drept pe lssrc/startsrc/stopsrc cu ACL-uri (dupa ce perii SRCsubsys pentru a lasa doar serviciile utilizate, nu si chestii gen rexd sau altele exploatabile :-) ) sau aplici varianta (1) cu exec-ul pe 'startsrc -s informix' sau 'refresh -s informix' etc. Studiaza si manualele. De exemplu inetd este definit tot ca subsistem, asa ca in loc de kill -1 inetd_pid in AIX se face 'refresh -s inetd'. Daca introduci toate serviciile intr-un grup poti face numai refresh/startsrc/stopsrc -g <nume_grup> Eventual studiezi si roles si vezi daca te ajuta cumva (sa le dai acces la ecranul smit pentru management servicii). jack > Am un server in productie, care are pe el informix, apache (:80), tomcat > etc. etc. pt o aplicatie interna. Exista un departament de Operating unde > oamenii nu prea stiu ei despre ce e vorba in serverele astea, da ei sunt in > permanenta pe tura si trebuie sa poata, in caz de balarele prin sistem, sa > faca restart. Pt asta am facut un script dragut cu start|stop|status, etc. > Treaba e ca de ex. apache-ul poate sa-l porneasca doar root-ul, informix-ul > -userul lui de informix/root, etc. In mod evident, nu vreau sa le dau > root-ul de la un sistem in productie celor din operating ca daca le zici rm > -rf / nu se prind ca-i gluma... :((( > > am incercat treaba cu acledit, merge in parte (in sensul ca pot da drepturi > usor asupra executabilelor, dar dupa aceea vine magaria cu cele t-spe mii de > alte fisiere si oricum, rezultatul este ca uid-ul cu care e pornit un > executabil nu e ownerul... :((( ) > > Cristi > > > > > eu am facut ceva asemanator cu expect (interactiv) si dadeam parola > > de root ... daca vrei sa nu se uite cineva in script cauta un program > > care iti face un script (text file) intr-un fel de binar, deci nu te > > poti uita in el si nici debbuger nu exista. > > asta in cazul in care tre sa faci ceva de genul bind pe un port sub > > 1024 (nu stiu din aix daca poti sa modifici unde se sfirsesc > > porturile privilegiate) ca banuiesc ca asta e problema. pt access la > > diverse fisiere acl este solutia. > > > > > > --- Cristian Ion <[EMAIL PROTECTED]> wrote: > > > > > > Salut! > > > > > > Tre sa scriu un script prin care un user obisnuit sa poata sa > > > oprneasca un > > > server care in mod normal nu poate fi pornit decat de root (aka > > > sudo). > > > Dar n-am sudo pe masina asta si nici nu vreau sa instalez un pachet > > > aditional pe ea. Nici nu vreau sa fac un nou user... > > > > > > Stiti careva cum pot face asta? Sau vre-un link bun pe tema asta? > > > > > > 10x > > > > > > Cristi > > > --- > > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to > > > unsubscribe from this list. > > > > > > > > > ===== > > Silviu Dicu > > > > __________________________________________________ > > Do You Yahoo!? > > Try FREE Yahoo! Mail - the world's greatest free email! > > http://mail.yahoo.com/ > > --- > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to > > unsubscribe from this list. > > > --- > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to > unsubscribe from this list. > --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
