Bloccare comando reboot ad utente

Problemi e suggerimenti legati al software e ai pacchetti problematici.
Rispondi
fermat
Little John
Messaggi: 1053
Iscritto il: 9 maggio 2009, 18:28
Contatta:

Bloccare comando reboot ad utente

Messaggio da fermat » 18 settembre 2017, 14:07

ciao!

volevo impedire che alcuni utenti possano eseguire il comando reboot (e anche shudown in verità) da terminale.
ho aggiunto questo al file /etc/sudoers:

Codice: Seleziona tutto

Cmnd_Alias     SHUTDOWN = /sbin/shutdown,/sbin/reboot,/sbin/halt,/sbin/poweroff
# User privilege specification
root    ALL=(ALL:ALL) ALL
matte   ALL=(ALL:ALL) ALL, !SHUTDOWN
ma non funziona, nel senso che se do il comando reboot, il pc si avvia comunque.
sapete dirmi dove sbaglio??

Avatar utente
TheSaint
Robin Hood
Messaggi: 7951
Iscritto il: 8 settembre 2007, 7:43
Architettura: x86_64 (64bit)
Località: davanti al computer

Re: Bloccare comando reboot ad utente

Messaggio da TheSaint » 18 settembre 2017, 15:39

Allora per primo Ciao Matteo :)
Poi i comandi poweroff e reboot sono dei symlinks

Codice: Seleziona tutto

$ ls -l /usr/bin/reboot
lrwxrwxrwx 1 root root 9 14 ago 15.45 /usr/bin/reboot -> systemctl
$ ls -l /usr/bin/poweroff
lrwxrwxrwx 1 root root 9 14 ago 15.45 /usr/bin/poweroff -> systemctl
$ls -l /usr/bin/halt
lrwxrwxrwx 1 root root 9 14 ago 15.45 /usr/bin/halt -> systemctl 
Penso che si possa magari limitare i permessi di esecuzione al solo root, ma non ci scommetterei.

Codice: Seleziona tutto

# chmod 755 /usr/bin/systemctl
Questo limita al solo amministratore di eseguire systemctl.
F the saint 13 anni da questo forum ;)
Gli uomini consumano il pianeta, almeno due di queste cose si possono ridurre.

fermat
Little John
Messaggi: 1053
Iscritto il: 9 maggio 2009, 18:28
Contatta:

Re: Bloccare comando reboot ad utente

Messaggio da fermat » 18 settembre 2017, 15:53

TheSaint ha scritto:Allora per primo Ciao Matteo :)
Poi i comandi poweroff e reboot sono dei symlinks

Codice: Seleziona tutto

$ ls -l /usr/bin/reboot
lrwxrwxrwx 1 root root 9 14 ago 15.45 /usr/bin/reboot -> systemctl
$ ls -l /usr/bin/poweroff
lrwxrwxrwx 1 root root 9 14 ago 15.45 /usr/bin/poweroff -> systemctl
$ls -l /usr/bin/halt
lrwxrwxrwx 1 root root 9 14 ago 15.45 /usr/bin/halt -> systemctl 
Penso che si possa magari limitare i permessi di esecuzione al solo root, ma non ci scommetterei.

Codice: Seleziona tutto

# chmod 755 /usr/bin/systemctl
Questo limita al solo amministratore di eseguire systemctl.
ciao The Saint!

intanto grazie per la risposta.
il cambio di permessi su /usr/bin/systemctl in effetti funziona.
però mi piaceva capire meglio i concetti dietro sudoers, per quello mi ero diretto verso quella strada.
ho visto parecchie guide in giro, tutte uguali.
solo che a me non funzionano (e a dire il vero non mi funzionano ne su arch, ne su xubuntu....).

Avatar utente
TheSaint
Robin Hood
Messaggi: 7951
Iscritto il: 8 settembre 2007, 7:43
Architettura: x86_64 (64bit)
Località: davanti al computer

Re: Bloccare comando reboot ad utente

Messaggio da TheSaint » 19 settembre 2017, 10:15

Cosa ti da

Codice: Seleziona tutto

$ sudo -l
Se fai

Codice: Seleziona tutto

$ sudo poweroff
posta cosa risponde.
F the saint 13 anni da questo forum ;)
Gli uomini consumano il pianeta, almeno due di queste cose si possono ridurre.

fermat
Little John
Messaggi: 1053
Iscritto il: 9 maggio 2009, 18:28
Contatta:

Re: Bloccare comando reboot ad utente

Messaggio da fermat » 19 settembre 2017, 10:41

allora:

Codice: Seleziona tutto

$ sudo -l
[sudo] password di matte: 
Corrispondenza voci Defaults per matte su matte-xu:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

L'utente matte può eseguire i seguenti comandi su matte-xu:
    (ALL : ALL) ALL, !/sbin/shutdown, !/sbin/reboot, !/sbin/halt, !/sbin/poweroff
    (ALL : ALL) ALL
invece:

Codice: Seleziona tutto

$ sudo poweroff
spegne la macchina.
ma in verità non mi serve neanche sudo per spegnerla.

Avatar utente
TheSaint
Robin Hood
Messaggi: 7951
Iscritto il: 8 settembre 2007, 7:43
Architettura: x86_64 (64bit)
Località: davanti al computer

Re: Bloccare comando reboot ad utente

Messaggio da TheSaint » 19 settembre 2017, 16:49

Non ho trovato documentazione, mi sembra che la negazione non sia una operazione fattibile. Ho letto il caso inverso. Ovvero è permesso solo un comando e tutti gli altri bloccati.
Altre ricerche con sudoers limit command non danno la spiegazione della negazione del comando.
Neanche al sito ufficiale di sudo, ho trovato la spiegazione.
fermat ha scritto:ma in verità non mi serve neanche sudo per spegnerla
Ma con sudo deve passare la condizione imposta, che magari deve aver limitato i permessi al suddetto programma a poter essere eseguito solo da root.
F the saint 13 anni da questo forum ;)
Gli uomini consumano il pianeta, almeno due di queste cose si possono ridurre.

fermat
Little John
Messaggi: 1053
Iscritto il: 9 maggio 2009, 18:28
Contatta:

Re: Bloccare comando reboot ad utente

Messaggio da fermat » 19 settembre 2017, 17:06

uhm ok.

faccio qualche altra prova.
se riesco vi posto la soluzione.

intanto grazie!!

enzolatina
Little John
Messaggi: 1151
Iscritto il: 6 ottobre 2007, 22:51
Architettura: x86_64 (64bit)
Località: belluno

Re: Bloccare comando reboot ad utente

Messaggio da enzolatina » 20 settembre 2017, 7:50

considera questo scenario: nessun utente nel gruppo wheel o sudoers o similia, quindi nessun utente oltre a root che può utilizzare comandi di amministrazione sistema, aggiungendo nel file /etc/sudoers i permessi di esecuzione per i comandi che interessno all'utente matte dovresti risolvere....
noi siamo arch linux, ogni resistenza è inutile, sarete assimilati

Rispondi