fli4l - floppy-isdn4linux                                       sudo.txt 2.1.2
------------------------------------------------------------------------------


Package SUDO - Ausfuehrung von speziellen Befehlen mit root Rechten
===================================================================

Nachdem der httpd seit der Version 2.1.x nicht mehr unter dem root User,
sondern unter dem nobody User laeuft, koennen per cgi keine Systemprozesse
mehr gestartet und gestoppt werden. 
Diese Huerde kann mit opt_sudo umgangen werden.

Funktion:
opt_sudo erzeugt ein Wrapper, der beim Booten des fli4l von root gestartet wird.
Er erwartet in der Datei /var/run/sudo.in die Kommandos, die er ausfuehren soll.
Diese Datei wird alle 3 Sekunden geprueft und bei Bedarf abgearbeitet.
Die etwaigen Rueckgaben erfolgen in der Datei /var/run/sudo.out.PID, wobei PID
als Kennung vom aufrufenden Prozess uebergeben werden kann. Wird keine
Rueckgabe gewuenscht, leitet der Wrapper diese in /dev/null.
Die Datei /var/run/sudo.out.PID sollte vom aufrufenden Prozess nach der
Auswertung geloescht werden. Ansonsten wird die Datei automatisch 60 Sekunden
nach ihrer Erstellung geloescht.

Syntax der Datei /var/run/sudo.in:
<Befehl1>|[PID]
[<Befehl2>|[PID]]
[<Befehl3>|[PID]]
...

Es koennen einer oder mehrere Befehle in die Datei /var/run/sudo.in
uebergeben werden. Aus diesem Grund sollte die Datei nie ueberschrieben
werden, sondern lediglich Zeilen angehaengt werden, um andere "Aufrufer" nicht
zu stoeren.
Die Angabe der PID ist optional und kann dazu verwendet werden, die Rueckgabe
des abgesetzten Befehles in der Datei /var/run/sudo.out.PID zu erhalten.
Aus sicherheitstechnischen Gruenden duerfen die Zeilen kein ` | und ; enthalten 
bzw. das | ist nur als Trenner zwischen Befehl und PID zulaessig.

/config/sudo.txt:
OPT_SUDO='yes'

Entscheidet, ob der Wrapper installiert wird (yes|no)

SUDO_COMMAND_N='1'		

Zaehler fuer die erlaubten Kommandos

SUDO_COMMAND_1='/usr/bin/vtund'

Erlaubte Kommandos fuer den Wrapper.
Es sind keine Parameter erlaubt.

WICHTIG:
Der Wrapper ist ein erster Entwurf. Er ist momentan nicht auf sicherheitstechnische Punkte optimiert
und erzeugt bei unsachgemaesser Anwendung evtl. ein Sicherheitsloch auf dem fli4l.
Da er fast alles ausfuehrt, wozu er vom aufrufenden opt-Paket benutzt wird, sollte das aufrufende
Paket die Aufrufe vorher pruefen!


2003/05/01 Markus Reile - reile@gmx.net