sudoers, отрезано от http://unixforum.org/index.php?showtopic=112002

[BIgAndy]

уважаемый BIgAndy, ну посмотрите, пожалуйста, чуть выше, чтобы понятно стало, что люди в треде обсуждают.
начиная отсюда:

НУ дык и смотрел.. Использование ALL в SUDOERS имхо моветон. И дырка в безопасности. Но это камень в сторону бубуты и офтопик, поэтому ...

[sash-kan]

Использование ALL в SUDOERS имхо моветон. И дырка в безопасности. Но это камень в сторону бубуты и офтопик, поэтому

вы сами с собой разговариваете?
или, если со мной, то что вы хотите мне сказать по поводу _локального_ разрешения запуска команды на «всех» машинах?

[BIgAndy]

по поводу _локального_ разрешения запуска команды на «всех» машинах

Перепроизнесите.. Что значит у вас "все машины" и _локальное_разрешение..

Вообще ИМХО речь о том, чтобы скрипту дать права на shutdown . без пароля. исключительно пользователю ups (или какая там у дамы группа) А не всем юзверям...

[sash-kan]

Перепроизнесите.. Что значит у вас "все машины" и _локальное_разрешение..

/etc/sudoers нынче обычно располагается на локальном компьютере. и, соответсвенно, непонятно, в чём состоят ваши опасения по поводу слова ALL в конструкции:
ups ALL=NOPASSWD: /sbin/shutdown

[BIgAndy]

Перепроизнесите.. Что значит у вас "все машины" и _локальное_разрешение..

/etc/sudoers нынче обычно располагается на локальном компьютере. и, соответсвенно, непонятно, в чём состоят ваши опасения по поводу слова ALL в конструкции:
ups ALL=NOPASSWD: /sbin/shutdown

Ахха. В этом смысле. В этой нотации ALL -спецификаця хоста, соответственно зайдя с любого хоста можно пользователю ups выключить компьютер.

Хотя я говорил о флеймово1 стороне вопроса: о том, что в бубнте первый попавшийся (введнный во время установки) USER в sudoers наделяется
USER ALL=(root) nopasswd:ALL. И, скорее всего, топикстартер под этой "учеткой" и работает.

[sash-kan]

В этой нотации ALL -спецификаця хоста, соответственно зайдя с любого хоста можно пользователю ups выключить компьютер

неверно. спецификация хоста восходит к тем временам, когда файл sudoers располагался на «шаре» и был доступен для многих компьютеров локальной сети. чтобы ограничить описываемое правилом разрешение только определённым списком компьютеров, и служила эта часть правила (перед символом «=»).
сейчас такую «расшаренную» конфигурацию, пожалуй, нигде не встретишь, соответственно, содержимое этого поля потеряло смысл.
насколько я понимаю, с таким же успехом слово «ALL» в этом месте можно заменить и на «127.0.0.1», и на «localhost».

И, скорее всего, топикстартер под этой "учеткой" и работает

у топик-стартера mandriva, если вы ещё не заметили.



QWERTYASDF
вернёмся немного назад. вот здесь вы упоминаете про некий файл upsmon.conf.sample. я начинаю подозревать, что именно этот файл вы и исправляли. это так?
если да, скажите, какому пакету принадлежит этот файл? узнать можно, наример, так:
$ rpm -qf /полный/путь/к/файлу

[BIgAndy]

сейчас такую «расшаренную» конфигурацию, пожалуй, нигде не встретишь, соответственно, содержимое этого поля потеряло смысл.
насколько я понимаю, с таким же успехом слово «ALL» в этом месте можно заменить и на «127.0.0.1», и на «localhost».

Огорчу. У меня, например, чуть более 20 хостов терминалами ходят. Там (на сервере) этот параметр очень пригождается.

у топик-стартера mandriva, если вы ещё не заметили.

Мда.. помните, я писал о вреде длинных тредов? Вот оно. Нить дискуссии теряется.

[/dev/random]

Огорчу. У меня, например, чуть более 20 хостов терминалами ходят. Там (на сервере) этот параметр очень пригождается.

Но речь-то всё-таки не о вашем сервере, а о десктопе (или ноуте?) топикстартера.

Мда.. помните, я писал о вреде длинных тредов? Вот оно. Нить дискуссии теряется.

Нет, не помним. Видимо, нить дискуссии потерялась.

[sash-kan]

Огорчу. У меня, например, чуть более 20 хостов терминалами ходят. Там (на сервере) этот параметр очень пригождается.

у вас на всех машинах один файл sudoers? тогда да, вы попадаете в тот самый редко встречаемый сегмент и вам следует обращать внимание на «хостовую» часть правил.

p.s. может быть, настала пора отделить обсуждение sudoers-а?

[BIgAndy]

p.s. может быть, настала пора отделить обсуждение sudoers-а?

Я это сразу сказал. Офтоп.

[sash-kan]

Там (на сервере) этот параметр очень пригождается

нельзя ли поподробнее с этого места. чем помогает «хостовая» часть sudoers-правила при раздаче привилегий на (одном) сервере?

[drBatty]

нельзя ли поподробнее с этого места. чем помогает «хостовая» часть sudoers-правила при раздаче привилегий на (одном) сервере?

а ведь да... для sudo любой юзер - локальный... как и для su, которая позволяет зайти под любым юзером удалённо, даже если удалённый логин запрещён этому юзеру...

[Ленивая Бестолочь]

/etc/sudoers нынче обычно располагается на локальном компьютере.

Саша, у кого как. у нас sudo сидит в лдапе (пакет sudo-ldap в дебиане и sudo_ldap в солярке). очень удобно. я бы даже сказал ОЧЕНЬ удобно.

[sash-kan]

/etc/sudoers нынче обычно располагается на локальном компьютере.

Саша, у кого как. у нас sudo сидит в лдапе (пакет sudo-ldap в дебиане и sudo_ldap в солярке). очень удобно. я бы даже сказал ОЧЕНЬ удобно.

я с тобой полностью согласен. обеими руками. но согласись, что это скорее редкое исключение из правил.

расшаривание конфигурационной информации, вообще, — вещь очень удобная. microsoft совсем не зря делает на это ставку (active directory).
но в то же время в мире *никсов, изначально и строившемся на таком подходе, сейчас он встречается, imho, достаточно редко.
возможно, виной этому то, что чаще приходится строить гетерогенные сети, нежели гомогенные, состоящие целиком из *nix-ов.
вот в гомогенной сети, конечно же, расшаривание конфигурации может заблистать в полную свою силу.

[drBatty]

но в то же время в мире *никсов, изначально и строившемся на таком подходе, сейчас он встречается, imho, достаточно редко.

ИМХО просто сейчас нет особой необходимости в раздачи ресурсов - гигабайты очень дёшевы. наоборот - для надёжности удобно хранить везде свою копию. и обрабатывать самостоятельно.

возможно, виной этому то, что чаще приходится строить гетерогенные сети, нежели гомогенные, состоящие целиком из *nix-ов.

и это - тоже конечно...

[Ленивая Бестолочь]

я с тобой полностью согласен. обеими руками. но согласись, что это скорее редкое исключение из правил.

ну в общем то да.

я честно говоря вообще фанат всё в лдап запихать - и самбу и днсы и dhcp и судо вот и керберос. и сам бы короче в лдап залез и сидел бы там :)
хочу попробовать сделать определение хотов через лдап (без днс)... :-)