Permitir que o grupo não-sudo controle o trabalho do Upstart

Question

Permitir que o grupo não-sudo controle o trabalho do Upstart

#1 resposta do Iuliu Pascaru (7 votos)
#2 resposta do Szymon Jeż (7 votos)
#3 resposta do Tuminoid (2 votos)
#4 resposta do Goran Miskovic (0 votos)

11

Estou tentando configurar uma tarefa do Upstart para ser executada na inicialização do sistema e que também pode ser iniciada / interrompida por membros de um grupo diferente de sudo . Com uma versão anterior, usei update-rc.d e scripts armazenados em /etc/init.d/ para fazer isso funcionar adicionando %Group ALL = NOPASSWD: /etc/init.d/scriptname ao meu arquivo sudoers, mas não consigo obter um equivalente trabalhando para o Upstart.

Eu tentei adicionar %Group ALL = NOPASSWD: /sbin/initctl start jobname ao arquivo sudoers, mas tentar executar o comando start jobname produz este erro:

start: Rejected send message, 1 matched rules; type="method_call", sender=":1.21" (uid=1000 pid=5148 comm="start jobname " interface="com.ubuntu.Upstart0_6.Job" member="Start" error name="(unset)" requested_reply="0" destination="com.ubuntu.Upstart" (uid=0 pid=1 comm="/sbin/init")

Por mais que eu saiba, é uma reclamação sobre como minha conta de usuário não tem o poder de enviar mensagens 'Iniciar' no arquivo de configuração do D-Bus para o Upstart. Eu não consegui realmente encontrar nenhuma informação sobre como editar esse arquivo para dar a um grupo permissão para acessar um serviço específico - existe tal opção? Existe uma maneira de editar o arquivo Sudoers para que eu possa executar o trabalho sem editar o arquivo de configuração? Eu estou melhor apenas seguindo a versão anterior?

server services 12.04 upstart

por Angle O'Saxon 17.12.2012 / 05:02

4 respostas

Tags server services 12.04 upstart

Como desabilitar a mensagem de boas vindas após o login do SSH? Como remover o atalho do aplicativo da web criado pelo chromium? [duplicado]

score 7 · Answer 1

Você pode começar descobrindo onde a configuração do D-Bus específica para o Upstart é mantida. Veja que destination="com.ubuntu.Upstart" snippet da mensagem de erro? Agora tente grep na pasta com os arquivos de configuração do D-Bus:

vhost07:~ $ grep -r "com.ubuntu.Upstart" /etc/dbus-1
/etc/dbus-1/system.d/Upstart.conf:    <allow own="com.ubuntu.Upstart" />
[...skipped...]

Esse arquivo Upstart.conf tem alguns exemplos de políticas. Eu acho que você poderia tentar descobrir o formato de uma política deles. Em seguida, tente permitir ao usuário específico apenas as ações necessárias. Por exemplo, como em:

<policy user="pope_benedict">
  <allow send_destination="com.ubuntu.Upstart"
         send_interface="com.ubuntu.Upstart0_6.Job"
         send_member="Start"/>
</policy>

Isso deve permitir que o usuário pope_benedict inicie esse trabalho.

Observe que os valores dos atributos da política 'allow' estão listados na sua mensagem de erro original.

score 7 · Answer 2

Estou usando pessoalmente a seguinte linha no arquivo /etc/sudoers.d/jobname_myuser:

myuser ALL = (root) NOPASSWD: /sbin/start jobname, /sbin/stop jobname, /sbin/restart jobname, /sbin/status jobname

conforme descrito aqui: link

score 2 · Answer 3

Essa opção não existe no sudo.

A diferença entre os scripts Sysv e os arquivos de configuração Upstart é apenas isso: scripts Sysv são scripts, executáveis por direito próprio e você pode dizer ao sudo para permitir que algum grupo os execute. Por outro lado, os arquivos de configuração do Upstart são apenas arquivos de configuração, não executáveis, então a execução do start (link simbólico para initctl ) é a coisa que o sudo permite. Seu problema aqui é permitir que as pessoas executem initctl para permitir que elas initctl de tudo.

A solução é simples se você se preocupa com um único trabalho. Faça um script, diga /usr/bin/jobname.sh com

#!/bin/sh
initctl  jobname

depois chmod 755 /usr/bin/jobname.sh e finalmente adicione esse executável ao seu arquivo sudoers:

%Group ALL = NOPASSWD: /usr/bin/jobname.sh

Dessa forma, todos podem chamar jobname.sh start ou jobname.sh stop para controlar esse trabalho específico. Você pode querer adicionar alguma verificação para permitir apenas os parâmetros start e stop , etc.

score 0 · Answer 4

Como apontado acima, o daemon dbus possui um arquivo de configuração que o especializa para um aplicativo específico.

ls /etc/dbus-1/system.d/
avahi-dbus.conf
bluetooth.conf
...
Upstart.conf
wpa_supplicant.con

O arquivo de configuração também estabelece limites de recursos, parâmetros de segurança e assim por diante.

Para detalhes, veja dbus-daemon-1 (1) - Página man do Linux

Para permitir que um grupo inicie / pare os trabalhos do Upstart, adicione a seguinte política ao /etc/dbus-1/system.d/Upstart.conf

  <policy group="YourGroupName">
    <allow send_destination="com.ubuntu.Upstart"
       send_interface="com.ubuntu.Upstart0_6.Job"
       send_type="method_call" send_member="Start" />
    <allow send_destination="com.ubuntu.Upstart"
       send_interface="com.ubuntu.Upstart0_6.Job"
       send_type="method_call" send_member="Stop" />
  </policy>

Você deve considerar as implicações de segurança dessa política antes de alterar a política padrão. Os membros do YourGroupName poderão iniciar / parar todos trabalhos de arranque.