Andere User in Task Manager job

[a.appel]

Hi guys,

Ik heb een nieuwe taak gecreeerd in de Task Manager, met als eigenaar "admin" .Om 4:30 moet een scriptje uitgevoerd worden, als administrator. Echter, in de e-mail met de resultaten krijg ik een melding dat een bepaald commando in het script ivm veiligheid niet als "root" uitgevoerd mag worden. En daarmee stopt het script...

Waarom wordt het script als "root" uitgevoerd? Hoe krijg ik het zo ver dat ie als "admin" uitgevoerd wordt?

[Ben(V)]

Door het script in de taskscheduler als "admin" en niet als "root" uit te laten voeren.

[Birdy]

Ik ben eerder benieuw wat het script doet.
Daarbij, als je .b.v. met PuTTY inlogt als admin en je voert dan het script uit, wat krijg je dan te zien ?

[Briolet]

…Waarom wordt het script als "root" uitgevoerd?…

Je leest het verkeerd, of het staat er ongelukkig. Je gebruikt een commando, of veranderd een file, dat alleen door root uitgevoerd kan worden. Zo niet, dan ben ik ook benieuwd naar dat stuk uit het script.

[Birdy]

Had misschien ook beter de mail tekst in dit Topic kunnen kopiëren, om eventuele verwarring te voorkomen.

[Briolet]

Nu begin ik ook te twijfelen. Als ik een script als admin laat uitvoeren terwijl het root rechten nodig heeft, dan krijg ik:

Code: [Selecteer]

Beste gebruiker

Taakplanner heeft een geplande taak voltooid.

Taak: Update SpamAssassin
Starttijd: Tue, 22 Aug 2017 13:19:13 GMT
Stoptijd: Tue, 22 Aug 2017 13:19:15 GMT
Huidige status: 1
Standaard uitvoer/fout:
gpg: WARNING: unsafe ownership on homedir `/var/packages/MailServer/target/etc/spamassassin/sa-update-keys'
gpg: failed to create temporary file `/var/packages/MailServer/target/etc/spamassassin/sa-update-keys/.#lk0x1323400.GedeeldeData.21828': Permission denied
gpg: keyblock resource `/var/packages/MailServer/target/etc/spamassassin/sa-update-keys/secring.gpg': General error
gpg: failed to create temporary file `/var/packages/MailServer/target/etc/spamassassin/sa-update-keys/.#lk0x1323400.GedeeldeData.21828': Permission denied
gpg: keyblock resource `/var/packages/MailServer/target/etc/spamassassin/sa-update-keys/pubring.gpg': General error
gpg: no writable keyring found: Unknown system error
gpg: error reading `/var/packages/MailServer/target/share/spamassassin/sa-update-pubkey.txt': General error
gpg: import from `/var/packages/MailServer/target/share/spamassassin/sa-update-pubkey.txt' failed: General error
gpg: process '/bin/gpg --homedir='/var/packages/MailServer/target/etc/spamassassin/sa-update-keys' --batch --no-tty --status-fd=1 -q --logger-fd=1 --import' finished: exit 2

Dat zijn toch heel andere foutmeldingen. Zou er dan toch een commando bestaan dat niet als root uitgevoerd mag worden? Maar TS schrijft heel expliciet dat hij het als Admin uitvoert.

[Briolet]

Het enige wat ik nog zou kunnen bedenken is dat er een sudo commando in staat. Dat zou de opmerking over "als root uitvoeren" kunnen verklaren.

[Ben(V)]

Volgens mij zijn er door Synology een aantal security zaken toegevoegd aan de taskscheduler die checken of gebruikers scripts, zaken willen uitvoeren die gevaarlijk zijn voor de bedrijfszekerheid van DSM en die alleen door root kunnen worden uitgevoerd.
Dit blokkeren ze dan gewoon en geven deze melding.

Ik vermoed dan ook dat als je het script met admin privileges laat uitvoeren je een melding krijgt dat admin niet voldoende rechten heeft om bepaalde dingen in dat script uit te voeren.

[Birdy]

Maar ja, de melding is:

dat een bepaald commando in het script ivm veiligheid niet als "root" uitgevoerd mag worden.

Maar goed, ik denk dat we allemaal op het verkeerde spoor zijn gezet, laat @a.appel eerst maar eens de echte melding zien, die in de mail staat.

[a.appel]

Hi guys,
Ok, even iets verder verduidelijken. Ik run een script wat EPG (Electronic Program Guide, ofwel een digitale TV gids) data ophaalt. Vanuit veiligheidsoverwegingen heeft de ontwikkelaar van het programma ervoor gezorgd dat het niet als root uitgevoerd kan worden.
Ik heb de boel geinstalleerd als admin en wil het dus ook runnen als admin.
Als ik via Putty als admin (dus niet als root!) inlog en het script run, gaat alles prima en wordt de data netjes opgehaald.
Als ik via de Task Manager het script run, met als eigenaar in de task manager "admin", krijg ik de foutmelding dat wegens beveiligingsredenen "root" dit programma niet mag runnen.
Ik wil het script dus aanroepen als admin, maar kennelijk wordt het aangeroepen als "root".
Vraag is: hoe zorg ik ervoor dat het wel als admin ipv als root aangeroepen wordt.

Exacte respons:
Taak: Grabber
Starttijd: Tue, 22 Aug 2017 04:30:02 GMT
Stoptijd: Tue, 22 Aug 2017 04:30:19 GMT
Huidige status: 0
Standaard uitvoer/fout:
Loaded the English texts file
Het Nederlandse tekst bestand is geladen Het configuratie bestand: /var/services/homes/admin/.xmltv/tv_grab_nl3_py.conf wordt gebruikt
  tv_grab_API.json wordt gedownload ...
Het bestand: "/var/lib/tvgrabpyAPI/tv_grab_API.json" is niet gevonden of kon niet worden geopend.
  tv_grab_nl.json wordt gedownload ...
Het bestand: "/var/lib/tvgrabpyAPI/tv_grab_nl.json" is niet gevonden of kon niet worden geopend.
  source-virtual.nl.json wordt gedownload ...
DataTreeGrab,id:11:Conversion Warning at line:1472: Failed to store the converted file as: "/var/lib/tvgrabpyAPI/source-virtual.nl.7.bin"
Je kunt dit script niet als "root" draaien behalve met de --configure optie.
Wanneer je --configure als "root" draait, dan wordt de configuratie in "/etc/tvgrabpyAPI/" geplaatst en als reserve configuratie gebruikt.
We wachten op alle overgebleven programma-threads om af te sluiten.

[Birdy]

Kijk eens in /usr/syno/etc/scheduled_tasks

Als het als root wordt gedraaid, dan is owner=0
En als admin is owner=1024

[a.appel]

Gekeken. Er staat duidelijk dat de owner = 1024, dus admin. En toch geeft het (automatisch) runnen van het script de foutmelding, dat de root de commando's niet mag uitvoeren.
Het verdere vreemde is, dat als ik in de task manager direct klik op uitvoeren, het script wel gewoon draait en dus de boel NIET door de root wordt aangeroepen.

Kortom, het lijkt erop dat er in de automatische run, ten onrechte de root als user van het script cq van de commando's in het script aangewezen wordt.

[dvandonkelaar]

En wat nou als je het script uit voert als een gebruiker met admin-rechten? Krijg je dan geen foutmelding?

[a.appel]

Als ik in de task scheduler een andere gebruiker met admin rechten invul, krijg ik "permission denied" melding.

[Ben(V)]

Als je eens vertelde waar je dat script vandaan hebt, dan kan ik even in de source kijken wat hij probeert te doen.
Tenslotte is het gewoon een python script.

Uit de losse pols vermoed ik dat hij iets onder "HOME" probeert weg te schrijven die environment variable is voor de "admin" user namelijk "/root" en daar mag je niet schrijven van DSM tenzij je root bent.


PS. Ik heb gemerkt dat als je een gewone user in de groep "administrators" toevoegt je een reboot nodig hebt om met putty als die user in te kunnen loggen.
Dus als je dat gedaan hebt werkt een reboot misschien.

Edit En je moet natuurlijk wel de "Home Service" hebben aan staan anders heeft die user nog steeds geen "HOME" folder.