tisdag 07 juni 2011 09:29:10 skrev Anders Sundman:
> On Tue, 7 Jun 2011 03:10:51 +0200, Mikael Fridh <frimik_at_gmail.com> wrote:
> > 2011/6/7 Anders Sundman <anders_at_4zm.org>:
> >> [...]
> >> [0:0] -A OUTPUT -m owner --uid-owner ntpuser -j su
> >>
> >> $ sudo -u ntpuser ntpdate -u ntp.ubuntu.com
> >> [...]
> >> Nätverksbiten fungerar prima. Problemet är att man måste vara root för
> >> att sätta tiden. Alltså kan man inte vara ntpuser. Jag vill inte gärna
> >> att root ska få gräddfil i iptables - så vad göra?
> >
> > Min första tanke blir
> > * skapa regeln på --gid-owner ntpgroup istället och kör sudo -u root
> > -g ntpgroup ntpdate -u ntp.ubuntu.com
> >
> > Eftersom du är root bör du få uppdatera klockan, och eftersom du är
> > ntpgroup bör du få komma ut via iptables.
> > Uppdatera sudoers därefter.
>
> Tack! Ditt fiffiga förslag känns uppenbart i efterhand och det är ofta en
> bra ledtråd till att man är på rätt väg.
>
> > Av nyfikenhet och som motståndare till "ntpdate -u"-körningar i roots
> > crontab undrar jag varför du vill köra ntpdate öht istället för ntpd?
>
> ntpdate skall inte köras av cron utan manuellt av användaren genom att
> klicka på en ikon. Jag har ett lite ovanligt use case med Live CD, där anv.
> måste bekräfta med en (zenity)-dialog att NTP verkligen skall köra.
Hej,
Ett par kommentarer. Behöver du verkligen ha iptablesregeln för TCP? En annan
sak. Om du ändå utvecklar så kanske inte ntpdate är att föredra då den skall
fasas ut. sntp är den föredragna, på många plattformar.
Sida från ntp.org om ntpdate.
http://support.ntp.org/bin/view/Dev/DeprecatingNtpdate
mvh,
/bengan
_______________________________________________
http://foss-sthlm.haxx.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2011-06-08