Почему юзер может запустить /usr/sbin/chcpu -V если я выдал разрешение только на /usr/sbin/nginx?

Question

[historydev]

/usr/sbin/chcpu -V - запускается
/usr/sbin/nginx - запускается

groups nginx - nginx : nginx nginx-agent

/etc/sudoers - %nginx-agent ALL=(ALL)NOPASSWD:/usr/sbin/nginx

ls -l /usr/sbin/chcpu - -rwxr-xr-x 1 root root 31096 Feb 21 2022 /usr/sbin/chcpu

Answer 1

[SunTechnik]

Есть различие: права на исполнение.
Права на sudo.

Права на исполнение задаются атрибутами файла. (x - в выводе ls -la).
chcpu - может быть запущен любым пользователем.
При этом процесс запускается от пользователя, и на выполнение некоторых операций у него может не быть прав.

Файл sudoerrs задает разрешение на повышение привелегий (запуск программы с правами root или другого пользователя).
При этом при вызове команды, перед ней в явном виде надо указывать sudo.

Answer 2

[Daemon23RUS]

rwxr-xr-x - запускать могут все, если правильно понимаю систему разрешений.

Comments

[historydev]

Я могу всей файловой системе выдать chmod 740?

Да, вы правы, X для other стоит

[Daemon23RUS]

historydev, Я так не делал, и не скажу насколько это действие что то не сломает. Но посмотрите в сторону chroot

Answer 3

[pfg21]

в /etc/sudoers ты пишешь правила для запуска через sudo
т.е. по этому правилу сработает строчка sudo /usr/sbin/nginx и sudo запустит /usr/sbin/nginx от имени root без пароля для любого пользователя входящего в группу nginx-agent
ни на что другое /etc/sudoers не влияет

согласно
-rwxr-xr-x 1 root root 31096 Feb 21 2022 /usr/sbin/chcpu
chcpu может запустить любой пользователь (x в поле other) от своего имени.

ты лучше грамотно опиши что надобно сделать.

Comments

[historydev]

Понял, спасибо.
Хочу разграничить пользователей, выдав каждому по участку за который он отвечает.

[historydev]

сhmod -R 750 / - ничего не сломает?

[SunTechnik]

historydev,
Сломает.
Тот же sudo перестанет работать...

[historydev]

SunTechnik, и как быть?

[historydev]

SunTechnik, стоп, а с sudo можно решить через 770, да?

[historydev]

SunTechnik, а на нужные мне папки я поставлю 740

[SunTechnik]

Права не ограничиваются rwx, есть еще s и t.
Есть еще File Access Control List.
У пользователей набор прав одинаковый ? Вы бы задачу описали...
Исходную задачу, а не то решение которое придумали...

[kisaa]

сhmod -R 750 / - ничего не сломает?

@HistoryART, точно сломает sshd. Наверняка сломает nginx. А остальное узнаете, если попробуете ))

[CityCat4]

historydev, Сломает все. Зато попрактикуешься в переустановке системы и постановке задач. Задачу таки опиши - которая поставлена. Потому что сейчас городится огород.