Använda programbutiken utan att vara admin

[Dan_N]

Jag vill att användarna ska kunna använda programbutiken för att installera nya program på sin PC (Ununtu 10.04) utan att att ha root-lösenord.

Anledningen är att jag har backupscripts som körs som root med serverlösenord i /root/smbcredentials... Lösenordsfilerna är lässkyddade för användare. Ger jag användarna admin-rättigheter så får kan de även läsa serverlösenorden. Det vill jag inte.

Hur gör jag?

Mvh, Dan

[frippe]

Ge användarna rättigheter via sudo se exempel: http://ubuntu-tutorials.com/2007/03/01/ ... th-visudo/

[andol]

Ge användarna rättigheter via sudo se exempel: http://ubuntu-tutorials.com/2007/03/01/ ... th-visudo/

Tja, en snyggare/rättare lösning är nog att titta direkt på PolicyKit, med tanke på att det är så Programcentralen är uppsatt.

(Kan dock inte vara mer specifik än så, då PolicyKit bara är något jag tittat på som allra hastigast.)

[Dan_N]

Tack för tipset om PolicyKit. Med den i googlingen hittade jag http://efreedom.com/Question/6-3/Can-Se ... Root-Users. Jag ska prova det i kväll.

Mvh, Dan

[andol]

Löste det sig? Då kanske jag med gott samvete kan gå vidare med det första som slog mig då jag läste ursprungsinlägget? :)

Jag hoppas det inte är några alltför "starka" lösenord som lagras i de lokala /root/smbcredentials? Oavsett filrättigheter så är det ju trots allt en relativt smal sak att starta upp datorn i ett räddningsläge och på så vis kunna komma åt godtycklig lokal fil. Kanske ska satsa på unika backup-konton per användare eller dator? Alternativt ta andra approachen, och låta det vara backup-servern som ansluter till klienterna?

[Dan_N]

Nej tyvärr, det kommer upp en lösenordsruta som frågar efter admin-lösenord.

När det gäller /root/smbcredentials så är jag medveten om pseudo-säkerheten i att gömma den under en lässkyddad /root. Dock har jag stuvat om lite i säkerheten på servern så att /root/smbcredentials endast innehåller "backuprättigheter".

Jag ska även prova frippes tips med begränsade "sudo-rättigheter" när tid ges.

Mvh, Dan

[Dan_N]

Nu har jag provat frippes tips om begränsade sudo-rättigheter: http://ubuntu-tutorials.com/2007/03/01/ ... th-visudo/ utan framgång.

Jag har givit en användare rätt att installera genom att lägga rättigheter i /etc/sudoers enligt instruktionen. Den användaren får ändå upp en lösenordsruta som frågar efter admin-lösenordet (inte användarens lösenord) när han försöker installera ett program från "Programcentral för Ubuntu".

Fler tips?

Mvh, Dan

[Osprey]

Även om det inte direkt är snyggt, så är det iallafall gammalt och beprövat... eller med andra ord att sätta S_ISUID för /usr/share/software-center/software-center... alltså "chmod 4755 /usr/share/software-center/software-center"... Det som händer då är att "Programcentral för Ubuntu" kommer att köra som om det var root som körde det, oavsett vad den egentliga användaren heter...

Kanske inte så snyggt, men det borde funka...

[Dan_N]

Det vill sig inte.

Jag har testat Ospreys tips och kört "sudo chmod 4755 /usr/share/software-center/software-center". Problemet kvarstår: Användaren får upp en lösenordsruta som frågar efter admin-lösenordet och inte användarens lösenord. Även om inte Osprey tycker sitt tips är snyggt så är det nog exakt det jag vill uppnå (om det skulle funka), dvs att alla användare kan köra "Software Center/Programcentral för Ubuntu" men inte installera på andra sätt som tex mha Synaptic.

Har även kombinerat detta med frippes tips om begränsade sudo-rättigheter utan framgång.

I Linux kan man göra samma sak på flera olika sätt:) Finns det några kvar att prova?

Mvh, Dan

[Osprey]

Det vill sig inte.

Om en "chmod 4755" inte påverkar det hela, så verkar det då som om /usr/share/software-center/software-center i sin tur kör något annat som även det skulle behöva "chmoddas"...

Jag gissar att resultatet blir exakt detsamma om användarna kör /usr/share/software-center/software-center som kommando i en terminal..?

Men vad blir utskriften om de kör:

Kod: Markera allt

strace /usr/share/software-center/software-center 2>&1 1>/dev/null | grep ^exec

?

[Dan_N]

Jo, det blir samma från terminalen. Jag såg dock att kommandot i programmenyn till "Programcentral för Ubuntu" är "/usr/bin/software-center". Jag chmod-ade även denna utan resultat.

Din strace ger följande:

Kod: Markera allt

august@Agge:~$ strace /usr/share/software-center/software-center 2>&1 1>/dev/null | grep ^exec
execve("/usr/share/software-center/software-center", ["/usr/share/software-center/softw"...], [/* 37 vars */]) = 0
august@Agge:~$ 

Gav det något?

Mvh, Dan

[Osprey]

Jo, det blir samma från terminalen. Jag såg dock att kommandot i programmenyn till "Programcentral för Ubuntu" är "/usr/bin/software-center". Jag chmod-ade även denna utan resultat.

/usr/bin/software-center är bara en symbolisk länk som pekar på /usr/share/software-center, så det är i princip samma fil...

Din strace ger följande:

Kod: Markera allt

august@Agge:~$ strace /usr/share/software-center/software-center 2>&1 1>/dev/null | grep ^exec
execve("/usr/share/software-center/software-center", ["/usr/share/software-center/softw"...], [/* 37 vars */]) = 0
august@Agge:~$ 

Gav det något?

Tyvärr kom det inte fram något som tyder på att /usr/share/software-center i sin tur startar något annat. I sin tur tyder det här på att den kanske utför sin säkerhetskontroll på ett sätt som chmod 4755 inte kan påverka, så vi får fundera på någon annan lösning...

Jag ska se om jag hinner prova lite på min egen burk...