nut + shutdown

Alexander Polozov написал(а) к All в Feb 21 10:17:44 по местному времени:

Привет, All!

Достался тут на днях по случаю беспородный бесперебойник с УПШ шнурком, подключил, поставил nut, настроил по шпаргалкам из тырнетика, вроде бы почти всё заработало, бесперебойник видится, в логи правильные сообщения идут, но при попытке подать команду на выключение тазика ничего не происходит. В конфигах видим что выключать пытается так SНUTDOWNCMD "/sbin/shutdown -h +0" (команда шлётся от пользуна nut, а значит логично получает отлуп "shutdown: you must be root to do that!").
Понятно, что тут надо разруливать права доступа, но что-то я с наскоку не соображу, чего и куда, что-б в итоге не получить дыру, потому что после беглых поисков в тырнете попадались советы добавить пользователя nut в группу wheel, поставить suid бит на shutdown и т.п., а хотелось бы всё таки грамотного решения.

Со всеми пожеланиями, Alexander Polozov

... У меня к русскому языку вопросов нет.
--- GoldED+/LNX 1.1.5 (Linux 5.4.97-gentoo CPU UNKNOWN)

Dmitry Ivanov написал(а) к Alexander Polozov в Feb 21 20:35:57 по местному времени:

Здравствуйте, Alexander.

Вы писали 28 февраля 2021 г., 13:17:44:

> шлётся от пользуна nut, а значит логично получает отлуп "shutdown: you must be root to do that!").
> Понятно, что тут надо разруливать права доступа, но что-то я с
> наскоку не соображу, чего и куда, что-б в итоге не получить дыру,
> потому что после беглых поисков в тырнете попадались советы добавить
> пользователя nut в группу wheel, поставить suid бит на shutdown и
> т.п., а хотелось бы всё таки грамотного решения.

в sudo пропиши для пользователя nut безпарольный запуск /sbim/shutdown
bla-bla-bla

и соответсвенно поправить SНUTDOWNCMD на "sudo /sbin/shutdown
bla-bla-bla"

--
С уважением,
Dmitry
--- InterSquish NNTP Server/FTN Gate

Alexey Vissarionov написал(а) к Alexander Polozov в Mar 21 15:19:00 по местному времени:

Доброго времени суток, Alexander!
28 Feb 2021 10:17:44, ты -> All:

AP> Достался тут на днях по случаю беспородный бесперебойник [...]
AP> при попытке подать команду на выключение тазика ничего не происходит.
AP> В конфигах видим что выключать пытается так SНUTDOWNCMD
AP> "/sbin/shutdown -h +0" (команда шлётся от пользуна nut, а значит
AP> логично получает отлуп "shutdown: you must be root to do that!").
AP> Понятно, что тут надо разруливать права доступа, но что-то я с
AP> наскоку не соображу, чего и куда, что-б в итоге не получить дыру,
AP> потому что после беглых поисков в тырнете попадались советы добавить
AP> пользователя nut в группу wheel, поставить suid бит на shutdown и
AP> т.п., а хотелось бы всё таки грамотного решения.

no-pty,command="/sbin/init 0" ssh-ed25519 ...

Прямо в ~root/.ssh/authorized_keys :-)
Разумеется, в sshd_config предварительно надо сказать как минимум:

PasswordAuthentication no
PermitEmptyPasswords no
PermitRootLogin prohibit-password

И потом просто ssh root@::1 этим техническим пользователем.

Все остальные варианты (sudo, нештатные права доступа итд) - дырявые в той или иной степени.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Облачных технологий не существует - существуют только чужие компутеры
--- /bin/vi