Как разрешить пользователям, не участвующим в судопроизводстве, запускать скрипт, выполняющий операции root
Чтобы опубликовать код в PPA на панели запуска, вам нужно настроить openPGP и создать ключ, прикрепленный к адресу электронной почты. Чтобы подписать пакет, вам нужна копия закрытого ключа на локальном компьютере и пароль (который нигде не хранится). Если у пакета есть проблемы с безопасностью, относительно легко отследить автора. Я предполагаю, что основные хранилища для Ubuntu и Debian по крайней мере защищены.
Большинство проектов с открытым исходным кодом имеют центральный репозиторий с защитой по крайней мере ssh (паролем и / или парой открытых / закрытых ключей). Получение несанкционированного доступа здесь немного проще, чем ppa, но не тривиально. Системы управления версиями обычно записывают пользователя, который делает каждую фиксацию, и позволяют довольно легко понять, что делает фиксация.
. Всегда можно попытаться что-то пропустить в патч, но это опасное предложение. Большинство кодеров не принимают патч, который слишком велик, чтобы его можно было легко прочитать. Если вы пойманы, это в значительной степени это.
До сих пор остается определенная сумма, которой можно доверять, поэтому возможно, что кто-то может получить шпионское ПО в Ubuntu. Может быть, нам придется беспокоиться о том, что доля рынка Ubuntu значительно возрастает.
3 ответа
Я недостаточно знаком с Postgres, но я вижу по крайней мере 4 варианта:
Измените разрешения / opt / expe на chmod, чтобы все пользователи могли создавать файлы в этом каталоге. Создайте отдельную группу для пользователей, которые должны там писать и изменить группу / opt / expe group с помощью chmod, чтобы эта группа могла писать там. Создайте отдельную группу и добавьте правило sudoers, чтобы позволить им выполнить этот скрипт, как описано здесь, например: Как пользователь может подключить зашифрованный контейнер файлов в VeraCrypt? Используйте защиту ярлыков для точного контроля доступа. Ниже приведено краткое описание ярлыков безопасности и некоторых дополнительных ссылок: https://unix.stackexchange.com/questions/53028/what-are-ext4-security-labelsПожалуйста, имейте в виду, что разрешение на создавать / удалять файлы - это свойство каталога, а не самого файла.
-
1Варианты 1 и amp; 2 не то, что я прошу. Вариант 4 интересен, но я не нашел в нем ответа. Вариант 3 выглядит так, как будто мне нужно, я что-то пробовал, но он не работает. Вот мой уточненный вопрос: askubuntu.com/q/941273/672702 . Надеюсь, что так. Если бы это было так, то вариант 3 - это путь к ответу. Я еще не знаю. благодаря – Emilio Platzer 30 July 2017 в 19:23
-
2Я вижу, что это сложнее, чем я думал. Подробнее ... es.stackoverflow.com/a/92856/184 – Emilio Platzer 5 August 2017 в 15:51
Я недостаточно знаком с Postgres, но я вижу по крайней мере 4 варианта:
Измените разрешения / opt / expe на chmod, чтобы все пользователи могли создавать файлы в этом каталоге. Создайте отдельную группу для пользователей, которые должны там писать и изменить группу / opt / expe group с помощью chmod, чтобы эта группа могла писать там. Создайте отдельную группу и добавьте правило sudoers, чтобы позволить им выполнить этот скрипт, как описано здесь, например: Как пользователь может подключить зашифрованный контейнер файлов в VeraCrypt? Используйте защиту ярлыков для точного контроля доступа. Ниже приведено краткое описание ярлыков безопасности и некоторых дополнительных ссылок: https://unix.stackexchange.com/questions/53028/what-are-ext4-security-labelsПожалуйста, имейте в виду, что разрешение на создавать / удалять файлы - это свойство каталога, а не самого файла.
Я недостаточно знаком с Postgres, но я вижу по крайней мере 4 варианта:
Измените разрешения / opt / expe на chmod, чтобы все пользователи могли создавать файлы в этом каталоге. Создайте отдельную группу для пользователей, которые должны там писать и изменить группу / opt / expe group с помощью chmod, чтобы эта группа могла писать там. Создайте отдельную группу и добавьте правило sudoers, чтобы позволить им выполнить этот скрипт, как описано здесь, например: Как пользователь может подключить зашифрованный контейнер файлов в VeraCrypt? Используйте защиту ярлыков для точного контроля доступа. Ниже приведено краткое описание ярлыков безопасности и некоторых дополнительных ссылок: https://unix.stackexchange.com/questions/53028/what-are-ext4-security-labelsПожалуйста, имейте в виду, что разрешение на создавать / удалять файлы - это свойство каталога, а не самого файла.