Создание пользователя

[spool]

Здравствуйте. Необходимо создать юзера с определенными правами: создание / удаление юзера, запуск/остановка процессов, распаковка архивов, создание / удаление папок и возможность смены паролей для созданных юзеров. Как сие можно осуществить? Зараннее спасибо.

[Bizdelnick]

запуск/остановка процессов, распаковка архивов, создание / удаление папок

А что, с этим есть проблемы?

создание / удаление юзера

man sudoers, man useradd, man userdel.

смены паролей для созданных юзеров

Только для юзеров, созданных данным конкретным юзером? Сие невозможно.

[spool]

запуск/остановка процессов, распаковка архивов, создание / удаление папок

А что, с этим есть проблемы?

Не пробовал еще. Спросил на всякий случай

создание / удаление юзера

man sudoers, man useradd, man userdel.

Да, я читал маны, но то ли лыжи не едут, то ли я... Потому был бы благодарен за конкретное решение.

смены паролей для созданных юзеров

Только для юзеров, созданных данным конкретным юзером? Сие невозможно.

То есть этот юзер сможет и пасс от рута поменять, в случае чего, если это невозможно?

[Bizdelnick]

Да, я читал маны, но то ли лыжи не едут, то ли я... Потому был бы благодарен за конкретное решение.

Да вроде ничего сверхсложного нет. Прописываете в sudoers что-то вроде

Код: Выделить всё

user ALL = (root) /usr/sbin/useradd, /usr/sbin/userdel

То есть этот юзер сможет и пасс от рута поменять, в случае чего, если это невозможно?

Да.

[watashiwa_daredeska]

Только для юзеров, созданных данным конкретным юзером? Сие невозможно.

Можно обернуть /usr/bin/passwd, /usr/sbin/useradd и т.п. в скрипты, которые будут контролировать (например, все пользователи, созданные псевдоадмином, будут добавляться в дополнительную группу оберткой вокруг useradd, а обертка вокруг passwd будет проверять). А уже к этим оберткам дать доступ через sudoers, не давая доступа к оригиналам.

[spool]

Да вроде ничего сверхсложного нет. Прописываете в sudoers что-то вроде

Код: Выделить всё

user ALL = (root) /usr/sbin/useradd, /usr/sbin/userdel

Можете подробнее объяснить, что за что отвечает в данной прописи?

Только для юзеров, созданных данным конкретным юзером? Сие невозможно.

Можно обернуть /usr/bin/passwd, /usr/sbin/useradd и т.п. в скрипты, которые будут контролировать (например, все пользователи, созданные псевдоадмином, будут добавляться в дополнительную группу оберткой вокруг useradd, а обертка вокруг passwd будет проверять). А уже к этим оберткам дать доступ через sudoers, не давая доступа к оригиналам.

Мне здесь остается сделать только умное лицо и покивать, ибо я ничего не понял)

[drBatty]

делать юзеров и менять пароли может ТОЛЬКО рут. А вам советуют кривые костыли.

[spool]

делать юзеров и менять пароли может ТОЛЬКО рут. А вам советуют кривые костыли.

То есть, по сути, какому-то юзеру нельзя дать только определенные права?

[drBatty]

юзеру можно дать права рута. Можно одному юзеру дать права другого. Можно на одну команду. Можно после этого лишится всех своих прав.

[Bizdelnick]

То есть, по сути, какому-то юзеру нельзя дать только определенные права?

Можно, конечно. Но конкретно управление пользователями возможно только от имени рута.

[watashiwa_daredeska]

А вам советуют кривые костыли.

Да, я знаю, что sudo — кривой костыль, но уж чем богаты :)

по сути, какому-то юзеру нельзя дать только определенные права?

Можно, но… Набор действий, на выполнение которых можно более-менее стандартно дать права, довольно ограничен. Необходимые Вам действия в стандартный набор не укладываются. Поэтому я и предлагаю свести Ваши нестандарные действия (на которые нельзя стандартным образом выдать права) к стандартным (т.е. к праву запуска определенных команд) путем написания скриптов-оболочек, которые не будут позволять делать то, чего нельзя.

Для примера, скрипт, аналогичный по набору параметров команде /usr/sbin/useradd, но включающий всех добавляемых через него пользователей в группу admin-managed:

Код: Выделить всё

#!/bin/bash
# -*- mode: sh; coding: utf-8; -*-

set -e

FORCED_GROUP=admin-managed

opts="$(getopt -o "+b:c:d:De:f:g:G:k:K:lmMNop:rR:s:u:UZ:" -l "base-dir:,comment:,home:,defaults,expiredate:,inactive:,gid:,groups:,skel:,key:,no-log-init,create-home,no-user-group,non-unique,password:,system,root:,shell:,user-group,selinux-user:" -- "$@")"
eval "set -- $opts"
while [ "x--" != "x$1" ]; do
  case "$1" in
    -b|-c|-d|-e|-f|-g|-k|-K|-p|-R|-s|-u|-Z|--base-dir|--comment|--home|--expiredate|--inactive|--gid|--skel|--key|--password|--root|--shell|--selinux-user)
      command_args=("${command_args[@]}" "$1" "$2")
      shift
      ;;
    -D|-l|-m|-M|-N|-o|-r|-U|--defaults|--no-log-init|--create-home|--no-user-group|--non-unique|--system|--user-group)
      command_args=("${command_args[@]}" "$1")
      ;;
    -G|--groups)
      if echo -n ",$2," | grep ",$FORCED_GROUP," 2>/dev/null; then
        command_args=("${command_args[@]}" "$1" "$2")
      else
        command_args=("${command_args[@]}" "$1" "${FORCED_GROUP},$2")
      fi
      group_forced=yes
      ;;
  esac
  shift
done
if [ "$group_forced" != "yes" ]; then
  command_args=("${command_args[@]}" -G "$FORCED_GROUP")
fi

/usr/sbin/useradd "${command_args[@]}" "$@"

Если дать на него права через sudo, то пользователь сможет добавлять только членов группы admin-managed и никак иначе. Аналогичная обертка вокруг passwd — и вуаля, наш админ может добавлять пользователей и менять пароли только им, и никому другому.

[sciko]

А RBAC на том же SELinux уже не модно?

[spool]

юзеру можно дать права рута. Можно одному юзеру дать права другого. Можно на одну команду. Можно после этого лишится всех своих прав.

Ну вот вы сейчас работаете над проектом, связанным именно с работой подобного юзера. Как вы это осуществили?

Для примера, скрипт, аналогичный по набору параметров команде /usr/sbin/useradd, но включающий всех добавляемых через него пользователей в группу admin-managed:

Код: Выделить всё

#!/bin/bash
# -*- mode: sh; coding: utf-8; -*-

set -e

FORCED_GROUP=admin-managed

opts="$(getopt -o "+b:c:d:De:f:g:G:k:K:lmMNop:rR:s:u:UZ:" -l "base-dir:,comment:,home:,defaults,expiredate:,inactive:,gid:,groups:,skel:,key:,no-log-init,create-home,no-user-group,non-unique,password:,system,root:,shell:,user-group,selinux-user:" -- "$@")"
eval "set -- $opts"
while [ "x--" != "x$1" ]; do
  case "$1" in
    -b|-c|-d|-e|-f|-g|-k|-K|-p|-R|-s|-u|-Z|--base-dir|--comment|--home|--expiredate|--inactive|--gid|--skel|--key|--password|--root|--shell|--selinux-user)
      command_args=("${command_args[@]}" "$1" "$2")
      shift
      ;;
    -D|-l|-m|-M|-N|-o|-r|-U|--defaults|--no-log-init|--create-home|--no-user-group|--non-unique|--system|--user-group)
      command_args=("${command_args[@]}" "$1")
      ;;
    -G|--groups)
      if echo -n ",$2," | grep ",$FORCED_GROUP," 2>/dev/null; then
        command_args=("${command_args[@]}" "$1" "$2")
      else
        command_args=("${command_args[@]}" "$1" "${FORCED_GROUP},$2")
      fi
      group_forced=yes
      ;;
  esac
  shift
done
if [ "$group_forced" != "yes" ]; then
  command_args=("${command_args[@]}" -G "$FORCED_GROUP")
fi

/usr/sbin/useradd "${command_args[@]}" "$@"

Если дать на него права через sudo, то пользователь сможет добавлять только членов группы admin-managed и никак иначе. Аналогичная обертка вокруг passwd — и вуаля, наш админ может добавлять пользователей и менять пароли только им, и никому другому.

Спасибо за вариант

[watashiwa_daredeska]

А RBAC на том же SELinux уже не модно?

Если Вы приведете рецепт того, как пользователю A дать право менять пароль только пользователям, созданным самим пользователем A, то модно.

[watashiwa_daredeska]

Спасибо за вариант

Только не вздумайте его в таком виде использовать. Это proof-of-concept, а не реальный рабочий скрипт. В частности, через указание --skel "админ" может насажать создаваемым пользователям троянов. Так что, хотя это и возможный путь решения, но при написании таких чувствительных к безопасности скриптов, да еще и на shell, с его на голову больным квотингом, нужно думать не 7 раз, а как минимум 7^2.

[spool]

Спасибо за вариант

Только не вздумайте его в таком виде использовать. Это proof-of-concept, а не реальный рабочий скрипт. В частности, через указание --skel "админ" может насажать создаваемым пользователям троянов. Так что, хотя это и возможный путь решения, но при написании таких чувствительных к безопасности скриптов, да еще и на shell, с его на голову больным квотингом, нужно думать не 7 раз, а как минимум 7^2.

Да для меня сейчас любой вариант хорош, ибо это первый форум, где начали двигать хоть какие-то идеи

[sash-kan]

ибо это первый форум, где начали двигать хоть какие-то идеи

на остальных нашилсь свои слакварщики-ретрограды?

[taaroa]

А RBAC на том же SELinux уже не модно?

а ссылку на готовую политику (с подробными комментариями) потёрли модераторы?
или вы просто забыли её (политику) написать и опубликовать?

нет, мистер андерсон, оно этого не умеет.

[alv]

Потому был бы благодарен за конкретное решение.

Видите ли, над конкретным решением довольно долго думала цельная фирма Sun вместе с кучей волонтёров - и придумала политику ролевого доступа в OpenSolaris. Где как раз высший закадровый режиссёр может наначить одного из юзеров исполняющим роль рута. А рута при этом может не быть вообще. Не как Ubuntu, где у рута просто не пароля, а именно не быть рутового аккаунта.
В Linux'е нечто подобное, затратив определённые усилия, можно реализовать посредством SELinux'а.
А Вы хотите конкретного решения одним постом

Кстати, возникает контр-вопрос: а зачем Вам это надо?
Я вот представляю одну ситуацию: обладатель рутового пароля может на месяц запить или по дамам загулять.
Но в таком случае не проще ли у него взять рутовый пароль?

[alv]

а ссылку на готовую политику (с подробными комментариями) потёрли модераторы?

ТС попросил конекретного решения. Ему его предложили: прочитать данный материал и придумать такое решение для себя. Или есть волонтёры проделать за него эту работу?

[spool]

Нужно для работы удаленного скрипта на дедике.
На одном форуме предложили сделать что-то типа

Код: Выделить всё

serj debian143=(ALL) NOPASSWD: /bin/kill, /usr/sbin/userdel, /usr/sbin/useradd, /usr/bin/passwd

[watashiwa_daredeska]

Код: Выделить всё

serj debian143=(ALL) NOPASSWD: /bin/kill, /usr/sbin/userdel, /usr/sbin/useradd, /usr/bin/passwd

Это очень плохо. Ибо тогда я (debian143) делаю: sudo /usr/bin/passwd (меняю пароль root), потом su - и я царь и бог без ограничений.

[taaroa]

Или есть волонтёры проделать за него эту работу?

пропатчить линакс grsecurity или rsbac и написать соответствующие политики?
из пушки по воробушкам.

обычно на каждую «хотелку» можно привести аналог уже существующего и используемого решения. и если правильно поставить задачу, то половина решения уже готова. как-то так.

[drBatty]

Да, я знаю, что sudo — кривой костыль, но уж чем богаты :)

угу.

Поэтому я и предлагаю свести Ваши нестандарные действия (на которые нельзя стандартным образом выдать права) к стандартным (т.е. к праву запуска определенных команд) путем написания скриптов-оболочек, которые не будут позволять делать то, чего нельзя.

Для примера, скрипт, аналогичный по набору параметров

вообще-то, это не самая лучшая идея: писать универсальный скрипт. Наверняка 95% функционала в данном конкретном случае просто не нужна.

Если дать на него права через sudo, то пользователь сможет добавлять только членов группы admin-managed и никак иначе. Аналогичная обертка вокруг passwd — и вуаля, наш админ может добавлять пользователей и менять пароли только им, и никому другому.

гладко было на бумаге, да забыли про овраги... © русская поговорка.

Ну вот вы сейчас работаете над проектом, связанным именно с работой подобного юзера. Как вы это осуществили?

никак. юзеры == строчки в таблице users в СУБД. проще говоря - фикция. Зачем мне лишняя головная боль? А в самой системе никаких юзеров не создаётся, соответственно и вопросом их создания я не озаботился (:

Спасибо за вариант

пожалуйста. Надеюсь ваш проект не связан с деньгами, а просто какая-то визитка, какого-то васи пупкина, который никому не нужен (:

А RBAC на том же SELinux уже не модно?

а забивать шурупы можно не только молотком, но и микроскопом. Они от этого держаться не хуже. И не лучше (:
RBAC это конечно очень сильное колдунство, но явно не в случае ТСа.

Это proof-of-concept, а не реальный рабочий скрипт. В частности, через указание --skel "админ" может насажать создаваемым пользователям троянов.

можно. А вы спросили ТС'а, _нужен_ ли _ему_ этот ваш skel?
Впрочем, там и без этого полным полно дыр. Уж тогда проще свой вариант useradd_adm написать на C с правами 4711... (для скрипта такие права не имеют смысла).

Да для меня сейчас любой вариант хорош, ибо это первый форум, где начали двигать хоть какие-то идеи

ИМХО вы не с той стороны подошли к задаче. Типа "как правильно и безопасно спустится с крыши девятиэтажного дома в окно своей квартиры на пятом этаже?". Вот вам и советуют варианты строительного альпиниста и разные решения на базе парашютов/дельтапланов/боингов. (:

на остальных нашилсь свои слакварщики-ретрограды?

ну вот... я уже ретроград...

[sash-kan]

ну вот... я уже ретроград...

ладно вам, где я это написал?

[spool]

Код: Выделить всё

serj debian143=(ALL) NOPASSWD: /bin/kill, /usr/sbin/userdel, /usr/sbin/useradd, /usr/bin/passwd

Это очень плохо. Ибо тогда я (debian143) делаю: sudo /usr/bin/passwd (меняю пароль root), потом su - и я царь и бог без ограничений.

А если так?

Код: Выделить всё

serj debian143=(ALL) NOPASSWD: /bin/kill, /usr/sbin/userdel, /usr/sbin/useradd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

[drBatty]

А если так?

тогда sudo useradd -o -u0 root2
много чего можно придумать на самом деле. Вы всё ещё не хотите зайти в дверь, как все нормальные люди? ;)

[watashiwa_daredeska]

Вы всё ещё не хотите зайти в дверь, как все нормальные люди? ;)

Это который

свой вариант useradd_adm написать на C с правами 4711

?

ИМХО вы не с той стороны подошли к задаче. Типа "как правильно и безопасно спустится с крыши девятиэтажного дома в окно своей квартиры на пятом этаже?". Вот вам и советуют варианты строительного альпиниста и разные решения на базе парашютов/дельтапланов/боингов. (:

Ага, а нормальные люди, если забыли ключ, вышибают дверь и сидят три дня безвылазно в квартире, пока новую не привезут и не поставят.

[sash-kan]

Ибо тогда я (debian143)

истины ради — serj, а не debian143·
debian143 в данном случае — имя хоста·

[spool]

Вы всё ещё не хотите зайти в дверь, как все нормальные люди?

Может я упустил что-то, но что вы подразумеваете под входом в дверь?