sudo locked?

[UNIX-based]

ciao a tutti,
con google non ho risolto, qui la ricerca è disabilitata.

non ho mai usato sudo e subito ho un problema:

<user> is not allowed to run sudo on localhost. This incident will be reported.

credo di aver sbagliato la password troppe volte... ma come faccio ora per sboccarlo?


tutto questo perchè vorrei mountare una partizione via web e quindi con l'utente apache volevo riuscire ad avere i permessi per il mount. forse però non è il modo migliore per farlo... avete qualche suggerimento?

grazie

[trillullero]

Prova ad assegnare il comando mount ad un' altro gruppo, ad esempio mounter.
Attiva il SUID bit.
Aggiungi l' utente apache al gruppo mounter.
In questo modo solo root e chi fa parte del gruppo può lanciare il comando mount (assicurati che other non abbia il permesso di esecuzione).
Essendoci il SUID bit attivo, chi lancia il comando mount, lo lancia con i permessi di root, anche se si tratta dell' utente apache.
Prova e facci sapere.
ciao!

[UNIX-based]

ottimo, funziona!
ho messo così:

codice:

-rwxr-sr--   1 root apache  /usr/bin/smbmount
-rwxr-sr--   1 root apache  /bin/umount

ed ho aggiunto questa riga a /etc/sudoers:

codice:

apache ALL=NOPASSWD:/usr/bin/smbmount,/bin/umount

ora devo solo aggiustare un po' la parte web.
grazie mille!

[trillullero]

Io avevo scritto di mettere il SUID bit non il SGID bit.
In questo modo il processo viene lanciato con i permessi del gruppo (nel tuo caso apache).
Mi sembra strano che funzioni.
Forse funziona perchè hai scritto
ALL=NOPASSWD
e quindi qualsiasi user potrebbe montare le tue partizioni.
Controlla.
Secondo il mio ragionamento i permessi dovrebbero essere
-rwsr-xr--

Ciao!

[UNIX-based]

credevo di doverlo mettere al gruppo perchè "apache" l'ho messo come gruppo...

ok, ho settato il SUID ma con:
apache ALL=/usr/bin/smbmount,/bin/umount
torna a non funzionare

[trillullero]

Premetto che di sudo non so niente, so solo a cosa serve.
...
Ora ho capito.
Nel file di configurazione hai specificato che apache può lanciare determinati servizi.
Mettendo il SGID bit chiunque lancia il processo lo lancia come se fosse l' utente apache e i conti tornano.
Se mettessi anche il permesso di esecuzione per gli altri, chiunque riuscirebbe a lanciare i processi.

Prova a specificare la stessa cosa per root e impostare i SUID bit come descritto e dovrebbe funzionaere.
In questo modo, chiunque fa parte del gruppo apache può lanciare i processi.
Mi sembra un po' strano che sia necessario specificare anche root nel file di configurazione di sudo, se fai la prova sopra scritta ci chiariamo le idee entrambi.


Se hai intenzione di lanciare i processi solo attraverso l' utente apache ti conviene togliere il SGID bit e lasciare apache come gruppo per i servizi interessati.
Tieni conto che per poter lanciare sudo con altri utenti del sistema diversi da apache e root devi aggiungerli al gruppo apache.

Il che non mi sembra molto carino, per questo avevo consigliato di creare un gruppo apposito per sudo ma pensaci tu su come preferisci fare.

Mi raccomando fai l' esperimento di agiungere root al file di configurazione di sudo con il SUID bit per vedere se funzia!
Ciao!