パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

sudoのセキュリティリスクとは?」記事へのコメント

  • by Anonymous Coward on 2008年02月14日 17時12分 (#1297018)
    パートさんにユーザ登録とかさせてますので、その辺の root 権限が必要なスクリプトを動かさせてます。

    また、営業がエンドユーザから「サーバがおかしいぞ」とか文句を言われるので tail や cat/zcat などを使えるようにしてます。

    ということで、職種によってできることを Cmnd_Alias HOGEHOGE=/bin/sl などのように書いてますよん。
    まぁ、別の端末の前に座ることもあるので端末を限定するところまではやっていません。
    • by Anonymous Coward on 2008年02月14日 18時18分 (#1297074)
      # 少しだけストーリーの表題に合わせたコメントをしてみよう.

      うちの環境では,zcat は以下のようなシェルスクリプトになっています.

      #!/bin/bash
      PATH=${GZIP_BINDIR-'/usr/bin'}:$PATH
      exec gzip -cd "$@"
      環境変数 GZIP_BINDIR を上書きすると,任意のコマンドを Runas ユーザの権限で
      実行させることができそうです./etc/sudoers で明示的に env_reset オプション
      を設定しておくといいのかな.

      Defaults    env_reset
      私自身は「sudoers にはできるだけ手を加えない」主義ですが…
      作業中は端末の前を離れることが少ないので,タイムアウトをデフォルトより
      長めにしています.

      Defaults        timestamp_timeout = 20
      親コメント
    • by Ryo.F (3896) on 2008年02月14日 19時16分 (#1297120) 日記

      tail や cat/zcat などを使えるようにしてます。
      root権限で?そりゃいろいろ見えちゃいけないものが見えてマズいんじゃない?/etc/shadowとか、~USER/.ssh/id_dsaとか、/var/mail/*とか。
      削除・改変されなきゃいいって整理なのかな?
      親コメント
      • by Anonymous Coward
        改段落されているので、さすがに root 権限ではないと思うのですが、
        sl を /bin にインストールしておられる勇敢な御仁ですからね…

        特定の人にログの閲覧を許可するだけなら、適当な group を作成して
        chmod 640 しておくので十分な気がする。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...