Frage zum Umgang mit Systembenutzern

**$upreme** · 17. 04. 2012, 08:05

Kurz und knapp:

Ein Shellscript soll unter einem bestimmten Nutzer gestartet werden. Also:

adduser --system --group userxyz

In das nun vorhandene homeverzeichnis habe ich nun das Script gelegt, den Systembenutzer zum Besitzer gemacht, Die Rechte auf 775 gesetzt und anschließend versucht das Script mit dem Befehl

su testuserxyz -c ./test.sh

zu starten...

Geht nicht aber nicht

Warum?

Wie starte ich denn nun das Script als Benutzer testuserxyz?

Ich habe mich echt tot gegooglet aber finde nix :/

Danke für die Hilfe

Gruß
$upreme

**meFisttoU** · 17. 04. 2012, 08:13

Was genau bedeutet _geht aber nicht_? Irgendwelche Fehlermeldungen?

Ansonsten probiers mal mit dem richtigen Environment für den User:

Code:

su - testuserxyz -c ./test.sh

**$upreme** · 17. 04. 2012, 09:03

/etc/passwd:

Code:

...
testuser:x:121:126::/home/testuser:/bin/false
...

Home Verzeichnis des Systembenutzers

Code:

root@bcdev-server:/home/testuser# ls -l
insgesamt 4
-rwxr-xr-x 1 testuser testuser 36 2012-04-17 09:53 test.sh

Aufruf als root

Code:

root@bcdev-server:/home/testuser# ./test.sh
Hallo Welt
root@bcdev-server:/home/testuser#

Jetzt mit bereits genanntem Aufruf

Code:

root@bcdev-server:/home/testuser# su - testuser -c ./test.sh
root@bcdev-server:/home/testuser#

Wie man sieht, sieht man nix

**a_d_s** · 17. 04. 2012, 09:16

Und was soll test.sh genau machen?

**$upreme** · 17. 04. 2012, 09:26

Zitat von a_d_s

Und was soll test.sh genau machen?

Im Moment einfach nur "Hallo Welt" ausgeben

sieht man im Aufruf als root

Code:

root@bcdev-server:/home/testuser# ./test.sh
Hallo Welt
root@bcdev-server:/home/testuser#

test.sh sieht so aus:

Code:

#!/bin/sh

echo "Hallo Welt"

Hab schon überlegt ob es in der Root shell einfach nur nicht ausgegeben wird, aber wenn ich die test.sh wie folgt abändere:

Code:

#!/bin/sh

echo "Hallo Welt" > test.txt

erzeugt der Aufruf mit

su - testuser -c ./test.sh

auch keine Datei!

**a_d_s** · 17. 04. 2012, 09:32

Wem gehört denn das Home Verzeichnis des Users? Dem User selbst, oder root?

Was passiert, wenn du folgendes ausführst:

Code:

su - testuser
./test.sh

In zwei getrennten Schritten.

**Finntastisch** · 17. 04. 2012, 09:38

Dein neuer User hat keine Shell (/bin/false)

testuser:x:121:126::/home/testuser:/bin/false

sprich du kannst kein su [-] auf ihn machen.

Trag da eine ein und es klappt.

**$upreme** · 17. 04. 2012, 09:38

ls -l im Home Verzeichnis

Code:

drwxr-xr-x  2 testuser testuser  4096 2012-04-17 10:26 testuser

Ergebnis bei Trennung der beiden Schritte

Code:

root@bcdev-server:/home/testuser# su - testuser
root@bcdev-server:/home/testuser# ./test.sh
Hallo Welt
root@bcdev-server:/home/testuser# id
uid=0(root) gid=0(root) Gruppen=0(root)
root@bcdev-server:/home/testuser#

Der Wechsel zu diesem Nutzer klappt ja schon nicht so wie ich das sehe

**$upreme** · 17. 04. 2012, 09:47

Zitat von Finntastisch

Dein neuer User hat keine Shell (/bin/false)

sprich du kannst kein su [-] auf ihn machen.

Trag da eine ein und es klappt.

Wie klappt das denn dann bei anderen systembenutzern mit dem Starten von Diensten? mysql z.B. hat auch keine Shell und trotzdem läuft der dienst ja unter dem Benutzer mysql.

Irgendwie ist mir das zu hoch

der Parameter --system erzeugt doch nicht ohne Grund einen Nutzer ohne Shell oder seh ich das falsch

**Finntastisch** · 17. 04. 2012, 09:57

Diese User haben genau deshalb keine Shell damit du eben nicht ein su [-] drauf machen kannst.

Da bei solchen Useren gerne weak Passwords vergeben werden ("Ach, ist ja nur der Mysql Daemon, geb ich ihm mal das Passwort 'mysql') wurden solche Accounts früher gerne gehackt.

Je nach Distribution forkt ein kleiner Helfer (start-stop-daemon meistens) die Prozesse beim Init.

**meFisttoU** · 17. 04. 2012, 10:12

Weil dein User eben keine Loginshell hat - denn /bin/false - kannst nur mit su - user -c bzw. su user -c keine Kommandos auf dieser absetzen.

Entweder gibts du dem User eine Loginshell oder alternativ:

Code:

su testuser - -s /bin/bash -c ./test.sh

**meFisttoU** · 17. 04. 2012, 10:23

Nachtrag:

Dein su - testuser funktioniert, weil su in dem Fall eine interaktive Shell startet (afaik shell, kann mich aber irren).

Zu deinem MySQL Beispiel:
Wie Finntastisch sagt, läuft der Elternprozess unter root. Alles andere sind forks, die dann als mysql-User laufen.

Siehe Output von z.B. http://unixhelp.ed.ac.uk/CGI/man-cgi?pstree+1

**$upreme** · 17. 04. 2012, 11:00

Zitat von meFisttoU

Weil dein User eben keine Loginshell hat - denn /bin/false - kannst nur mit su - user -c bzw. su user -c keine Kommandos auf dieser absetzen.

Entweder gibts du dem User eine Loginshell oder alternativ:

Code: