set uid bit

Le
Thomas
bonjour :-)


j'ai un script shell que je veux exécuter avec un autre utilisateur que
le mien
c'est possible ?


j'ai fait

chmod ug+s lancer-serveur
chmod o+x lancer-serveur
sudo chown www:www lancer-serveur

mais ça ne marche pas
quand j'exécute lancer-serveur, il est tjr à mon nom

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
mpg
Le #115515
Le (on) dimanche 04 novembre 2007 16:18, Thomas a écrit (wrote) :
j'ai un script shell que je veux exécuter avec un autre utilisateur que
le mien
c'est possible ?

Pas directement avec un script shell. Pour des raisons de sécurité, le bit

suid n'a aucun effet sur les scripts shell. Si tu veux vraiment faire un
truc suid-able, il faut le faire en C ou tout autre truc du genre, il me
semble.

Manuel.

Stephane Chazelas
Le #115378
2007-11-04, 17:14(+01), mpg:
Le (on) dimanche 04 novembre 2007 16:18, Thomas a écrit (wrote) :
j'ai un script shell que je veux exécuter avec un autre utilisateur que
le mien
c'est possible ?

Pas directement avec un script shell. Pour des raisons de sécurité, le bit

suid n'a aucun effet sur les scripts shell. Si tu veux vraiment faire un
truc suid-able, il faut le faire en C ou tout autre truc du genre, il me
semble.
[...]


Ca depend des systemes, certains l'autorisent. Mais ca en fait
general des trous de securité.

Une autre alternative est d'utiliser sudo.

--
Stéphane


Matthieu Moy
Le #117028
Stephane Chazelas
Ca depend des systemes, certains l'autorisent. Mais ca en fait
general des trous de securité.

Une autre alternative est d'utiliser sudo.


Est-ce que le setuid est plus problématique que sudo point de vue
sécurité ?

--
Matthieu

Nicolas S.
Le #117026
Matthieu Moy
Est-ce que le setuid est plus problématique que sudo point de vue
sécurité ?


Dans un système multi-utilisateurs, oui.

--
Nicolas S.

Vincent Lefevre
Le #117023
Dans l'article Nicolas S.
Matthieu Moy
Est-ce que le setuid est plus problématique que sudo point de vue
sécurité ?


Dans un système multi-utilisateurs, oui.


S'il est bien utilisé, non. Par exemple, si un utilisateur X doit
donner des droits (e.g. tuer certains de ses processus) aux autres
utilisateurs du système, il est bien pratique d'écrire un programme
setuid. En revanche, passer par la solution sudo nécessite un accès
root pour l'utilisateur X, ce qui peut être complètement inacceptable.

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)


dominix
Le #119965

En revanche, passer par la solution sudo nécessite un accès
root pour l'utilisateur X, ce qui peut être complètement
inacceptable.


A ma connaissance sudo sert justement a donner des droits sur des
processus/scripts/whatever sans donner un droit de root.

Dominix.

Nicolas George
Le #119827
dominix wrote in message
A ma connaissance sudo sert justement a donner des droits sur des
processus/scripts/whatever sans donner un droit de root.


Mais sudo se configure par l'édition du fichier /etc/sudoers, qui n'est
possible que pour root. Rendre un binaire SUID pour un utilisateur se fait
avec seulement les droits de l'utilisateur en question.

Thomas
Le #17289361
In article Stephane Chazelas
2007-11-04, 17:14(+01), mpg:
> Le (on) dimanche 04 novembre 2007 16:18, Thomas a écrit (wrote) :
>> j'ai un script shell que je veux exécuter avec un autre utilisateur que
>> le mien
>> c'est possible ?
>>
> Pas directement avec un script shell. Pour des raisons de sécurité, le bit
> suid n'a aucun effet sur les scripts shell. Si tu veux vraiment faire un
> truc suid-able, il faut le faire en C ou tout autre truc du genre, il me
> semble.
[...]

Ca depend des systemes, certains l'autorisent. Mais ca en fait
general des trous de securité.

Une autre alternative est d'utiliser sudo.



merci pour m'avoir rappelé cette possibilité :-)
(c'est vrai que ça m'ennuie plus parce que le fichier de config est
compliqué à éditer)

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Publicité
Poster une réponse
Anonyme