sudo nervt (was: verschlüsseltes Verzeichnis per NFS)

From: Marc Santhoff <M.Santhoff(at)web.de>
Date: Mon, 30 Jul 2012 06:55:04 +0200



Tag allerseits,



ich hänge das mal in den Thread, damit der Bezug zum Auslöser erhalten


bleibt.



Mein Problem:


Ich habe sudo so konfiguriert, daß in einer Gruppe eingetragene Benutzer


bestimmte Kommandos zum Anschließen eines verschlüsselten geli-fs


benutzen dürfen. Das klappt aber nur zum Teil. Wenn ich es unter meinem


Login (als Mitglied der Gruppe wheel) mache, geht's:



Für mich selbst:


$ sudo /sbin/mdconfig -a -t vnode -f ...


md0



Fein.



$ sudo -l -U tony


User tony may run the following commands on this host:


    (root) /sbin/geli init md*, /sbin/geli attach md* /sbin/mdconfig -a -t vnode -f *,


    /sbin/mount md*.eli /geli/$USER/* /sbin/geli detach md*, /sbin/umount /geli/$USER/*



Versuche ich das eingeloggt als minderprivilegierter Benutzer tony:



$ sudo -l


User tony may run the following commands on this host:


    (root) /sbin/geli init md*, /sbin/geli attach md* /sbin/mdconfig -a -t


    vnode -f *, /sbin/mount md*.eli /geli/$USER/* /sbin/geli detach md*,


    /sbin/umount /geli/$USER/*



Okay soweit, aber dann:



$ sudo mdconfig -a -t vnode -f files.geli                     


Sorry, user tony is not allowed to execute '/sbin/mdconfig -a -t vnode


-f files.geli' as root on



Mit vollem Pfad /sbin/mdconfig passiert das gleiche. Nächster Versuch:



$ sudo -ggeli_users mdconfig -a -t vnode -f files.geli


Sorry, user tony is not allowed to execute '/sbin/mdconfig -a -t vnode


-f files.geli' as tony:geli_users on



Muß tony auch in Gruppe wheel eingetragen sein? Das will ich nicht, ich


benutze dafür doch sudo. Kann sonst vielleicht noch mit den Wildcards


für den Dateinamen zusammenhängen... 



Was ist hier verkehrt?



Rätselnde Grüße,


Marc



P.S.: Hier die betreffenden Konfigurationen:



$ grep geli_users /etc/group


geli_users:*:3000:marc,tony



<sudoers>


Cmnd_Alias GELI_USE = /sbin/geli init md*, \


                      /sbin/geli attach md* \


                      /sbin/mdconfig -a -t vnode -f *, \


                      /sbin/mount md*.eli /geli/$USER/* \


                      /sbin/geli detach md*, \


                      /sbin/umount /geli/$USER/*



%geli_users ALL=(root) GELI_USE


</sudoers>



-- 
Marc Santhoff <M.Santhoff(at)web.de>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 30 Jul 2012 - 06:58:05 CEST













search this site