In article (Dans l'article) <cfojlj$rgf$, Nicolas George <nicolas$ wrote (écrivait) :
Thomas wrote in message :
j'ai regardé, j'ai pas trouvé où ca parle de set-user-ID :-( y a pas ??
C'est quelle variante d'Unix ?
darwin (mac os x)
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
Nicolas George
Thomas wrote in message :
darwin (mac os x)
Je n'ai accès à rien de ce type pour tester, mais j'ai regardé sur ce qui, il me semble, s'en rapproche le plus : FreeBSD. Et la réponse est, si je ne me suis pas trompé, que le noyau ne permet pas les scripts SUID.
Il faut voir qu'il y a une race-condition terrible dans les scripts SUID : entre le moment où l'interpréteur est lancé avec des droits supplémentaires et celui où il ouvre effectivement le script, il est possible de changer le script. Solaris, par exemple, résout le problème en pré-ouvrant le script, et en passant /dev/fd/? comme nom de script à interpréter. Mais tous les Unix n'implémentent pas ça.
Thomas wrote in message
<fantome.forums.deContes-E9E300.23231915082004@news1-e.proxad.net>:
darwin (mac os x)
Je n'ai accès à rien de ce type pour tester, mais j'ai regardé sur ce
qui, il me semble, s'en rapproche le plus : FreeBSD. Et la réponse est,
si je ne me suis pas trompé, que le noyau ne permet pas les scripts
SUID.
Il faut voir qu'il y a une race-condition terrible dans les scripts
SUID : entre le moment où l'interpréteur est lancé avec des droits
supplémentaires et celui où il ouvre effectivement le script, il est
possible de changer le script. Solaris, par exemple, résout le problème
en pré-ouvrant le script, et en passant /dev/fd/? comme nom de script à
interpréter. Mais tous les Unix n'implémentent pas ça.
Je n'ai accès à rien de ce type pour tester, mais j'ai regardé sur ce qui, il me semble, s'en rapproche le plus : FreeBSD. Et la réponse est, si je ne me suis pas trompé, que le noyau ne permet pas les scripts SUID.
Il faut voir qu'il y a une race-condition terrible dans les scripts SUID : entre le moment où l'interpréteur est lancé avec des droits supplémentaires et celui où il ouvre effectivement le script, il est possible de changer le script. Solaris, par exemple, résout le problème en pré-ouvrant le script, et en passant /dev/fd/? comme nom de script à interpréter. Mais tous les Unix n'implémentent pas ça.
Thomas
In article (Dans l'article) <cft2o2$2jg4$, Nicolas George <nicolas$ wrote (écrivait) :
Thomas wrote in message :
darwin (mac os x)
Je n'ai accès à rien de ce type pour tester, mais j'ai regardé sur ce qui, il me semble, s'en rapproche le plus : FreeBSD. Et la réponse est, si je ne me suis pas trompé, que le noyau ne permet pas les scripts SUID.
Il faut voir qu'il y a une race-condition terrible dans les scripts SUID : entre le moment où l'interpréteur est lancé avec des droits supplémentaires et celui où il ouvre effectivement le script, il est possible de changer le script. Solaris, par exemple, résout le problème en pré-ouvrant le script, et en passant /dev/fd/? comme nom de script à interpréter. Mais tous les Unix n'implémentent pas ça.
aaaaah d'accord :-)
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) <cft2o2$2jg4$1@biggoron.nerim.net>,
Nicolas George <nicolas$george@salle-s.org> wrote (écrivait) :
Thomas wrote in message
<fantome.forums.deContes-E9E300.23231915082004@news1-e.proxad.net>:
darwin (mac os x)
Je n'ai accès à rien de ce type pour tester, mais j'ai regardé sur ce
qui, il me semble, s'en rapproche le plus : FreeBSD. Et la réponse est,
si je ne me suis pas trompé, que le noyau ne permet pas les scripts
SUID.
Il faut voir qu'il y a une race-condition terrible dans les scripts
SUID : entre le moment où l'interpréteur est lancé avec des droits
supplémentaires et celui où il ouvre effectivement le script, il est
possible de changer le script. Solaris, par exemple, résout le problème
en pré-ouvrant le script, et en passant /dev/fd/? comme nom de script à
interpréter. Mais tous les Unix n'implémentent pas ça.
aaaaah d'accord :-)
donc pas le droit au suid avec les scripts !
pas grave, il suffit que je fasse un binaire qui lance le script, c'est
bien ca ? :-)
--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) <cft2o2$2jg4$, Nicolas George <nicolas$ wrote (écrivait) :
Thomas wrote in message :
darwin (mac os x)
Je n'ai accès à rien de ce type pour tester, mais j'ai regardé sur ce qui, il me semble, s'en rapproche le plus : FreeBSD. Et la réponse est, si je ne me suis pas trompé, que le noyau ne permet pas les scripts SUID.
Il faut voir qu'il y a une race-condition terrible dans les scripts SUID : entre le moment où l'interpréteur est lancé avec des droits supplémentaires et celui où il ouvre effectivement le script, il est possible de changer le script. Solaris, par exemple, résout le problème en pré-ouvrant le script, et en passant /dev/fd/? comme nom de script à interpréter. Mais tous les Unix n'implémentent pas ça.
aaaaah d'accord :-)
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
Paul Gaborit
À (at) Tue, 17 Aug 2004 16:42:54 +0200, Thomas écrivait (wrote):
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
Ce binaire existe déjà : sudo !
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) Tue, 17 Aug 2004 16:42:54 +0200,
Thomas <fantome.forums.deContes@iFrance.com> écrivait (wrote):
donc pas le droit au suid avec les scripts !
pas grave, il suffit que je fasse un binaire qui lance le script, c'est
bien ca ? :-)
Ce binaire existe déjà : sudo !
--
Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) Tue, 17 Aug 2004 16:42:54 +0200, Thomas écrivait (wrote):
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
Ce binaire existe déjà : sudo !
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
Thomas
In article (Dans l'article) , Paul Gaborit wrote (écrivait) :
À (at) Tue, 17 Aug 2004 16:42:54 +0200, Thomas écrivait (wrote):
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
par contre : gros pb : j'avais completement oublié whoami pour verifier l'utilisateur et le pire c'est que je suis bien root, avec binaire aussi bien qu'avec le script direct !
mais dans les 2 cas il veut pas faire le route :-( mais il veut bien avec sudo
tiens je pense à un truc est ce que par hasard ca pourrais etre parce que l'utilisateur root n'est pas activé ?? (ca m'ennuierais de devoir l'activer)
sinon est ce que je peut mettre sudo en etant root, est ce que dans ce cas il demande tjr le mdp ?
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) <r7y8kb4868.fsf@michelange.enstimac.fr>,
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote (écrivait) :
À (at) Tue, 17 Aug 2004 16:42:54 +0200,
Thomas <fantome.forums.deContes@iFrance.com> écrivait (wrote):
donc pas le droit au suid avec les scripts !
pas grave, il suffit que je fasse un binaire qui lance le script, c'est
bien ca ? :-)
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp
c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
par contre : gros pb :
j'avais completement oublié whoami pour verifier l'utilisateur
et le pire c'est que je suis bien root, avec binaire aussi bien qu'avec
le script direct !
mais dans les 2 cas il veut pas faire le route :-(
mais il veut bien avec sudo
tiens je pense à un truc
est ce que par hasard ca pourrais etre parce que l'utilisateur root
n'est pas activé ?? (ca m'ennuierais de devoir l'activer)
sinon est ce que je peut mettre sudo en etant root, est ce que dans ce
cas il demande tjr le mdp ?
--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) , Paul Gaborit wrote (écrivait) :
À (at) Tue, 17 Aug 2004 16:42:54 +0200, Thomas écrivait (wrote):
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
par contre : gros pb : j'avais completement oublié whoami pour verifier l'utilisateur et le pire c'est que je suis bien root, avec binaire aussi bien qu'avec le script direct !
mais dans les 2 cas il veut pas faire le route :-( mais il veut bien avec sudo
tiens je pense à un truc est ce que par hasard ca pourrais etre parce que l'utilisateur root n'est pas activé ?? (ca m'ennuierais de devoir l'activer)
sinon est ce que je peut mettre sudo en etant root, est ce que dans ce cas il demande tjr le mdp ?
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
Thomas
In article (Dans l'article) , Thomas wrote (écrivait) :
In article (Dans l'article) , Paul Gaborit wrote (écrivait) :
À (at) Tue, 17 Aug 2004 16:42:54 +0200, Thomas écrivait (wrote):
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
une precision :
l'idée est de faire un petit prgm fixe qui ne fait que ca et que je peux executer comme ca, sans su ni sudo ni autre mdp
je ne veux pas retirer le mdp de sudo, puisqu'il permet de faire ce qu'on veut, donc ca serait trop dangereux
sinon est ce que je peut mettre sudo en etant root, est ce que dans ce cas il demande tjr le mdp ?
oui il demande tjr le mdp
le rendu :
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article)
<fantome.forums.deContes-EACE0B.09585520082004@news1-e.proxad.net>,
Thomas <fantome.forums.deContes@iFrance.com> wrote (écrivait) :
In article (Dans l'article) <r7y8kb4868.fsf@michelange.enstimac.fr>,
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote (écrivait) :
À (at) Tue, 17 Aug 2004 16:42:54 +0200,
Thomas <fantome.forums.deContes@iFrance.com> écrivait (wrote):
donc pas le droit au suid avec les scripts !
pas grave, il suffit que je fasse un binaire qui lance le script, c'est
bien ca ? :-)
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp
c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
une precision :
l'idée est de faire un petit prgm fixe qui ne fait que ca et que je peux
executer comme ca, sans su ni sudo ni autre mdp
je ne veux pas retirer le mdp de sudo, puisqu'il permet de faire ce
qu'on veut, donc ca serait trop dangereux
sinon est ce que je peut mettre sudo en etant root, est ce que dans ce
cas il demande tjr le mdp ?
oui il demande tjr le mdp
le rendu :
<fantome.forums.deContes-259F00.10131520082004@news1-e.proxad.net>
--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) , Thomas wrote (écrivait) :
In article (Dans l'article) , Paul Gaborit wrote (écrivait) :
À (at) Tue, 17 Aug 2004 16:42:54 +0200, Thomas écrivait (wrote):
donc pas le droit au suid avec les scripts ! pas grave, il suffit que je fasse un binaire qui lance le script, c'est bien ca ? :-)
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
une precision :
l'idée est de faire un petit prgm fixe qui ne fait que ca et que je peux executer comme ca, sans su ni sudo ni autre mdp
je ne veux pas retirer le mdp de sudo, puisqu'il permet de faire ce qu'on veut, donc ca serait trop dangereux
sinon est ce que je peut mettre sudo en etant root, est ce que dans ce cas il demande tjr le mdp ?
oui il demande tjr le mdp
le rendu :
-- "In a world without walls and fences, who needs windows and gates ?" "petit Free qui devient grand, gêne les requins blancs"
Remi Moyen
On Fri, 20 Aug 2004, Thomas wrote:
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
une precision :
l'idée est de faire un petit prgm fixe qui ne fait que ca et que je peux executer comme ca, sans su ni sudo ni autre mdp
je ne veux pas retirer le mdp de sudo, puisqu'il permet de faire ce qu'on veut, donc ca serait trop dangereux
Tu n'es pas obligé de retirer le mot de passe pour *toutes* les commandes, par sudo. Je ne me suis jamais penché sur la question en détail, mais le man de sudo explique très clairement (euh, en fait je sais pas si c'est clair, vu que je l'utilise pas ;-) ) comment faire pour que certains utilisateurs bien précis puissent lancer certaines commandes sans mot de passe, certaines autres avec, et d'autres encore pas du tout.
Bref, j'ai bien l'impression que sudo est vraiment ce que tu cherches. Il sera probablement plus sécurisé qu'un petit script que tu ferais toi-même.
En même temps, j'ai pas suivi le fil, alors je répond peut-être un peu à côté de la plaque ! -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
On Fri, 20 Aug 2004, Thomas wrote:
Ce binaire existe déjà : sudo !
oui mais je veux pas devoir taper le mdp
c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
une precision :
l'idée est de faire un petit prgm fixe qui ne fait que ca et que je peux
executer comme ca, sans su ni sudo ni autre mdp
je ne veux pas retirer le mdp de sudo, puisqu'il permet de faire ce
qu'on veut, donc ca serait trop dangereux
Tu n'es pas obligé de retirer le mot de passe pour *toutes* les commandes,
par sudo. Je ne me suis jamais penché sur la question en détail, mais le
man de sudo explique très clairement (euh, en fait je sais pas si c'est
clair, vu que je l'utilise pas ;-) ) comment faire pour que certains
utilisateurs bien précis puissent lancer certaines commandes sans mot de
passe, certaines autres avec, et d'autres encore pas du tout.
Bref, j'ai bien l'impression que sudo est vraiment ce que tu cherches. Il
sera probablement plus sécurisé qu'un petit script que tu ferais toi-même.
En même temps, j'ai pas suivi le fil, alors je répond peut-être un peu à
côté de la plaque !
--
Rémi Moyen
"Malgré les apparences, le temps est très varié à Nancy :
pluie, nuages, neige, brouillard, grêle, ..."
oui mais je veux pas devoir taper le mdp c'est deja assez chiant que le client vpn le fasse pas lui meme :-(
une precision :
l'idée est de faire un petit prgm fixe qui ne fait que ca et que je peux executer comme ca, sans su ni sudo ni autre mdp
je ne veux pas retirer le mdp de sudo, puisqu'il permet de faire ce qu'on veut, donc ca serait trop dangereux
Tu n'es pas obligé de retirer le mot de passe pour *toutes* les commandes, par sudo. Je ne me suis jamais penché sur la question en détail, mais le man de sudo explique très clairement (euh, en fait je sais pas si c'est clair, vu que je l'utilise pas ;-) ) comment faire pour que certains utilisateurs bien précis puissent lancer certaines commandes sans mot de passe, certaines autres avec, et d'autres encore pas du tout.
Bref, j'ai bien l'impression que sudo est vraiment ce que tu cherches. Il sera probablement plus sécurisé qu'un petit script que tu ferais toi-même.
En même temps, j'ai pas suivi le fil, alors je répond peut-être un peu à côté de la plaque ! -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
