user darf nicht mit /sbin/shutdown herunterfahren, es gibt nur root darf das aus. kann man das irgendwie anders machen ?

schau dir mal den command sudo an... habs selber auch nicht 100%ig im Griff

Schau doch einfach in die shutdown.allow, dort kannst du die User eintragen, die das System herunter fahren dürfen. (Gibt glaub ich, auch eine shutdown.deny, wo du User eintragen kannst, die es eben nicht dürfen...)

gruß

:)

Was gibt's an sudo nicht zu verstehen?

kannst du mir mal deine /etc/sudoers posten???

habe mit der Syntax Mühe!!!

greetz

adme

Sicher. Immer dran denken die Datei mit visudo zu bearbeiten.
Ich hab die Datei mal auskommentiert, die Defaults Sektion legt allgemeine Optionen fest, Aliases benutz ich nicht weil es nur 2 User und den lokalen Rechner gibt.



# Host_Alias specification


# User_Alias specification


# Cmnd_Alias specification


# Defaults specification
# ! means NOT

# Flags (boolean)
Defaults !mail_always # always send mail
Defaults !mail_badpass # mail on incorrect password
Defaults !mail_no_user # mail on unauthorized user
Defaults !mail_no_host # mail on unauthorized host
Defaults !mail_no_perms # mail on unauthorized command
Defaults authenticate # force enter password
Defaults !lecture # short lecture on first run
Defaults !root_sudo # root is allowed to run sudo
Defaults !log_host # log hostnames
Defaults !log_year # log four-digit year
Defaults !insults # insult on incorrect password
Defaults !rootpw # ask for root password
Defaults !runaspw # ask for runas user password
Defaults !targetpw # ask for target user password

# Integers (integer)
Defaults passwd_tries=3 # number of tries to enter password

# Integers (integer or boolean)
Defaults !loglinelen # maximum linelength in logfile
Defaults timestamp_timeout=10 # timeout for timestamps in minutes
Defaults passwd_timeout=10 # timeout for password prompt in minutes

# Strings (string)
Defaults badpass_message="Bad password\, please try again." # message on incorrect password
Defaults timestampdir=/var/run # timestamp directory
Defaults passprompt="Please enter your password\:" # password prompt
Defaults runas_default=root # default user to run commands

# Strings (string or boolean)
Defaults logfile=/var/log/sudo # path to sudo log file
Defaults !syslog # facility for syslog logging
Defaults mailto=root # address to send mail to
Defaults verifypw=all # requires password for -v flag
Defaults listpw=all # requires password for -l flag


# User privilege specification

# Syntax: USER HOST = [(USER)] COMMAND
Admin ALL = (ALL) ALL


Zuerst kommt immer der Benutzer (USER) der den Befehl ausführen können soll (oder nicht ausführen können soll). Dann kommt der Name des Rechners für den die Berechtigung gilt. Nach dem = folgt nochmal (USER), der Parameter ist optional und legt fest als welcher Benutzer der Befehl ausgeführt werden soll. Wenn man ihn weglässt wird der Befehl automatisch als root ausgeführt (bzw. als der User dessen Namen man bei Defaults runas_default= festgelegt hat). Am Ende folgt der Befehl. ALL ist eigentlich ein Wildcard oder Alias das für alles steht, das heißt der User Admin darf auf ALLen Systemen unter ALLen Usernamen ALLe Befehle ausführen.

Anderes (schlechtes, böses) Beispiel:
notux ALL = (ALL) ALL, !/sbin/shutdown, !/bin/sh, !/bin/csh, !/bin/tcsh, !/bin/ksh
notux erhält Root-Rechte und darf Befehle unter jedem Namen ausführen, darf aber den Rechner nicht booten und keine Shell öffnen. Und dass der Befehl sinnlos ist sollte auch ziemlich klar sein, wenn notux jedes andere Programm als root starten kann gibt es etliche Möglichkeiten den Rechner trotzdem neu zu starten.

Gutes Beispiel:
noroot ALL = /usr/bin/su [!-]*, !/usr/bin/su *root*
noroot darf sich auf jedem Rechner unter jedem Namen einloggen außer root, und er darf su keine Parameter übergeben die mit - anfangen.

Sali Nighthawk

vielen Dank für die super Beschreibung, jetzt habe ich voll den Durchblick!!!!!

nochmal thx

and greetz

adme

:D