On Tue, 7 Jun 2011 03:10:51 +0200, Mikael Fridh <frimik_at_gmail.com> wrote:
> 2011/6/7 Anders Sundman <anders_at_4zm.org>:
>> [...]
>> [0:0] -A OUTPUT -m owner --uid-owner ntpuser -j su
>>
>> $ sudo -u ntpuser ntpdate -u ntp.ubuntu.com
>> [...]
>> Nätverksbiten fungerar prima. Problemet är att man måste vara root för
>> att sätta tiden. Alltså kan man inte vara ntpuser. Jag vill inte gärna
>> att root ska få gräddfil i iptables - så vad göra?
>
> Min första tanke blir
> * skapa regeln på --gid-owner ntpgroup istället och kör sudo -u root
> -g ntpgroup ntpdate -u ntp.ubuntu.com
>
> Eftersom du är root bör du få uppdatera klockan, och eftersom du är
> ntpgroup bör du få komma ut via iptables.
> Uppdatera sudoers därefter.
Tack! Ditt fiffiga förslag känns uppenbart i efterhand och det är ofta en
bra ledtråd till att man är på rätt väg.
> Av nyfikenhet och som motståndare till "ntpdate -u"-körningar i roots
> crontab undrar jag varför du vill köra ntpdate öht istället för ntpd?
ntpdate skall inte köras av cron utan manuellt av användaren genom att
klicka på en ikon. Jag har ett lite ovanligt use case med Live CD, där anv.
måste bekräfta med en (zenity)-dialog att NTP verkligen skall köra.
> Lycka till dock. Jag är nyfiken på slutlig lösning.
Jag återkommer när jag testat.
// Anders
_______________________________________________
http://foss-sthlm.haxx.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2011-06-07