Je viens de me rendre compte d'un truc bizzare sur mes serveurs MacOSX.
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans
le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être
dans "wheel" ne suffit pas non plus, il semblerait que seul
l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en
GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son
utilisateur "ups" :-)
PS : le script /usr/libexec/upsshtdown fonctionne en local, mais je ne
veux pas envoyer des commandes sous root aux autres serveurs.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Patrick Stadelmann
In article <1h0s0pr.ntc8cvi0dt2vN%, (Xavier HUMBERT) wrote:
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être dans "wheel" ne suffit pas non plus, il semblerait que seul l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Attention, éteindre depuis la GUI ou via "shutdown" ce n'est pas la même chose. Dans le 1er cas, un utilisateur non-admin ne peut pas éteindre si d'autres sessions sont ouvertes, et il y aura la possibilité d'enregister les documents modifiés. Rien de tout ça avec le 1er cas.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son utilisateur "ups" :-)
Activer le flag SUID sur "shutdown" ?
Patrick -- Patrick Stadelmann
In article <1h0s0pr.ntc8cvi0dt2vN%xavier@injep.fr>,
xavier@injep.fr (Xavier HUMBERT) wrote:
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans
le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être
dans "wheel" ne suffit pas non plus, il semblerait que seul
l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en
GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Attention, éteindre depuis la GUI ou via "shutdown" ce n'est pas la même
chose. Dans le 1er cas, un utilisateur non-admin ne peut pas éteindre si
d'autres sessions sont ouvertes, et il y aura la possibilité
d'enregister les documents modifiés. Rien de tout ça avec le 1er cas.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son
utilisateur "ups" :-)
Activer le flag SUID sur "shutdown" ?
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1h0s0pr.ntc8cvi0dt2vN%, (Xavier HUMBERT) wrote:
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être dans "wheel" ne suffit pas non plus, il semblerait que seul l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Attention, éteindre depuis la GUI ou via "shutdown" ce n'est pas la même chose. Dans le 1er cas, un utilisateur non-admin ne peut pas éteindre si d'autres sessions sont ouvertes, et il y aura la possibilité d'enregister les documents modifiés. Rien de tout ça avec le 1er cas.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son utilisateur "ups" :-)
Activer le flag SUID sur "shutdown" ?
Patrick -- Patrick Stadelmann
patpro ~ Patrick Proniewski
In article , Patrick Stadelmann wrote:
In article <1h0s0pr.ntc8cvi0dt2vN%, (Xavier HUMBERT) wrote:
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être dans "wheel" ne suffit pas non plus, il semblerait que seul l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Attention, éteindre depuis la GUI ou via "shutdown" ce n'est pas la même chose. Dans le 1er cas, un utilisateur non-admin ne peut pas éteindre si d'autres sessions sont ouvertes, et il y aura la possibilité d'enregister les documents modifiés. Rien de tout ça avec le 1er cas.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son utilisateur "ups" :-)
Activer le flag SUID sur "shutdown" ?
et le fichier /etc/sudoers il sert a rien ? :)
patpro
In article <Patrick.Stadelmann-F6B353.16174404082005@individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <1h0s0pr.ntc8cvi0dt2vN%xavier@injep.fr>,
xavier@injep.fr (Xavier HUMBERT) wrote:
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans
le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être
dans "wheel" ne suffit pas non plus, il semblerait que seul
l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en
GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Attention, éteindre depuis la GUI ou via "shutdown" ce n'est pas la même
chose. Dans le 1er cas, un utilisateur non-admin ne peut pas éteindre si
d'autres sessions sont ouvertes, et il y aura la possibilité
d'enregister les documents modifiés. Rien de tout ça avec le 1er cas.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son
utilisateur "ups" :-)
In article <1h0s0pr.ntc8cvi0dt2vN%, (Xavier HUMBERT) wrote:
Contrairement aux autres Unix (*BSD, Linux) il ne suffit pas d'être dans le groupe "operator" pourt avoir le droit d'exécuter un shutdown, être dans "wheel" ne suffit pas non plus, il semblerait que seul l'utilisateur root puisse le faire. Ce qui est grotesque, puisque en GUI, un utilisateur sans aucun privilège peut éteindre la machine.
Attention, éteindre depuis la GUI ou via "shutdown" ce n'est pas la même chose. Dans le 1er cas, un utilisateur non-admin ne peut pas éteindre si d'autres sessions sont ouvertes, et il y aura la possibilité d'enregister les documents modifiés. Rien de tout ça avec le 1er cas.
Une idée ? C'est pas pour moi, c'est pour mon onduleur et son utilisateur "ups" :-)
Activer le flag SUID sur "shutdown" ?
et le fichier /etc/sudoers il sert a rien ? :)
patpro
Schmurtz
(Xavier) wrote:
patpro ~ Patrick Proniewski wrote:
et le fichier /etc/sudoers il sert a rien ? :)
Je voudrais éviter d'avoir des scrips différents selon les systèmes. Et effectivement, le suid, ça a l'air d'être ça :
Ça se change : "chmod u+s,o-rx /sbin/shutdown" en root.
Malheureusement, je crains qu'une vérif des permissions l'enlève.
C'est vrai, faudra recommencer à chaque réparation des permissions.
-- Schmurtz
patpro ~ Patrick Proniewski
In article <42f260ad$0$28665$, Schmurtz wrote:
(Xavier) wrote:
Schmurtz wrote:
Ça se change : "chmod u+s,o-rx /sbin/shutdown" en root.
Malheureusement, je crains qu'une vérif des permissions l'enlève.
C'est vrai, faudra recommencer à chaque réparation des permissions.
sur un serveur qui tourne normalement, c'est un truc que tu fais jamais hein ;) A la rigueur, ton +s va sauter pendant une mise a jour de l'OS, d'où ma proposition d'un crontab @reboot.
patpro
In article <42f260ad$0$28665$636a15ce@news.free.fr>,
Schmurtz <moi@ici.com> wrote:
xavier@groumpf.org (Xavier) wrote:
Schmurtz <moi@ici.com> wrote:
Ça se change : "chmod u+s,o-rx /sbin/shutdown" en root.
Malheureusement, je crains qu'une vérif des permissions l'enlève.
C'est vrai, faudra recommencer à chaque réparation des permissions.
sur un serveur qui tourne normalement, c'est un truc que tu fais jamais
hein ;)
A la rigueur, ton +s va sauter pendant une mise a jour de l'OS, d'où ma
proposition d'un crontab @reboot.
Ça se change : "chmod u+s,o-rx /sbin/shutdown" en root.
Malheureusement, je crains qu'une vérif des permissions l'enlève.
C'est vrai, faudra recommencer à chaque réparation des permissions.
sur un serveur qui tourne normalement, c'est un truc que tu fais jamais hein ;) A la rigueur, ton +s va sauter pendant une mise a jour de l'OS, d'où ma proposition d'un crontab @reboot.
patpro
jperrocheau
Xavier wrote:
Je voudrais éviter d'avoir des scrips différents selon les systèmes. Et effectivement, le suid, ça a l'air d'être ça :
