* Re: [mdk-re] Права на скрипт @ 2001-07-11 15:16 ` cornet 2001-07-11 15:23 ` Sergey Bolshakov 2001-07-11 15:55 ` [mdk-re] " Artem K. Jouravsky 0 siblings, 2 replies; 12+ messages in thread From: cornet @ 2001-07-11 15:16 UTC (permalink / raw) To: mandrake-russian > Mikhail Nikitin wrote: > > Существует скрипт который выполняет некоторую работу, и > добавляет пользователя unix (создает нового) с помощью adduser. > На скрипт выставлены все максимально возможные права: > (пока для тестирования) -rwsrwsrwx. > > При этом при попытке использовать внутри скрипта команду > adduser > выдается сообщение: > adduser: unable to lock password file > (если пользователь, запускающий скрипт - не root, иначе - все > ок). > > Как бороться с этим, если предполагается, что в дальнейшем > права на скрипте будут стоять только на запуск? > Не зависимо то пермишенов скрипт идет с правами того, кто его запустил. Поставите suid бит и будет идти с правами владельца, а не запустившего. Но это не всегда работает, вот например smbpasswd через suid работать не хочет ;-)) -- ******** FIRE & STEEL ******** ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Права на скрипт 2001-07-11 15:16 ` [mdk-re] Права на скрипт cornet @ 2001-07-11 15:23 ` Sergey Bolshakov 2001-07-11 15:32 ` cornet 2001-07-11 15:34 ` [mdk-re] Re[2]: " Ilya 2001-07-11 15:55 ` [mdk-re] " Artem K. Jouravsky 1 sibling, 2 replies; 12+ messages in thread From: Sergey Bolshakov @ 2001-07-11 15:23 UTC (permalink / raw) To: mandrake-russian >>>>> "cornet" == cornet writes: >> Mikhail Nikitin wrote: >> >> Существует скрипт который выполняет некоторую работу, и добавляет >> пользователя unix (создает нового) с помощью adduser. На скрипт >> выставлены все максимально возможные права: (пока для тестирования) >> -rwsrwsrwx. >> >> При этом при попытке использовать внутри скрипта команду adduser выдается >> сообщение: adduser: unable to lock password file (если пользователь, >> запускающий скрипт - не root, иначе - все ок). >> >> Как бороться с этим, если предполагается, что в дальнейшем права на >> скрипте будут стоять только на запуск? >> cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его cornet> запустил. Поставите suid бит и будет идти с правами владельца, а не cornet> запустившего. Но это не всегда работает, вот например smbpasswd cornet> через suid работать не хочет ;-)) suid на скрипты с некоторых пор признан вредным :) и не работает. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Права на скрипт 2001-07-11 15:23 ` Sergey Bolshakov @ 2001-07-11 15:32 ` cornet 2001-07-11 15:34 ` [mdk-re] Re[2]: " Ilya 1 sibling, 0 replies; 12+ messages in thread From: cornet @ 2001-07-11 15:32 UTC (permalink / raw) To: mandrake-russian Sergey Bolshakov wrote: > > >>>>> "cornet" == cornet writes: > > >> Mikhail Nikitin wrote: > >> > >> Существует скрипт который выполняет некоторую работу, и добавляет > >> пользователя unix (создает нового) с помощью adduser. На скрипт > >> выставлены все максимально возможные права: (пока для тестирования) > >> -rwsrwsrwx. > >> > >> При этом при попытке использовать внутри скрипта команду adduser выдается > >> сообщение: adduser: unable to lock password file (если пользователь, > >> запускающий скрипт - не root, иначе - все ок). > >> > >> Как бороться с этим, если предполагается, что в дальнейшем права на > >> скрипте будут стоять только на запуск? > >> > > cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его > cornet> запустил. Поставите suid бит и будет идти с правами владельца, а не > cornet> запустившего. Но это не всегда работает, вот например smbpasswd > cornet> через suid работать не хочет ;-)) > suid на скрипты с некоторых пор признан вредным :) > и не работает. О том, что это вредно для безопасности ни кто не спорит :-)) Однако до недавнего времени работало :-), по крайней мере в RE7.0, в Спринге не пробовал ни разу, ибо знаю - вредно. -- ******** FIRE & STEEL ******** ^ permalink raw reply [flat|nested] 12+ messages in thread
* [mdk-re] Re[2]: [mdk-re] Права на скрипт 2001-07-11 15:23 ` Sergey Bolshakov 2001-07-11 15:32 ` cornet @ 2001-07-11 15:34 ` Ilya 2001-07-11 15:43 ` cornet 1 sibling, 1 reply; 12+ messages in thread From: Ilya @ 2001-07-11 15:34 UTC (permalink / raw) To: Sergey Bolshakov SB> cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его SB> cornet> запустил. Поставите suid бит и будет идти с правами владельца, а не SB> cornet> запустившего. Но это не всегда работает, вот например smbpasswd SB> cornet> через suid работать не хочет ;-)) Там же написано что стоит все -rwsrwsrwx SB> suid на скрипты с некоторых пор признан вредным :) SB> и не работает. А как тогда быть ?.. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт 2001-07-11 15:34 ` [mdk-re] Re[2]: " Ilya @ 2001-07-11 15:43 ` cornet 2001-07-11 17:23 ` Artem K. Jouravsky 0 siblings, 1 reply; 12+ messages in thread From: cornet @ 2001-07-11 15:43 UTC (permalink / raw) To: mandrake-russian Ilya wrote: > > SB> cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его > SB> cornet> запустил. Поставите suid бит и будет идти с правами владельца, а не > SB> cornet> запустившего. Но это не всегда работает, вот например smbpasswd > SB> cornet> через suid работать не хочет ;-)) > Там же написано что стоит все -rwsrwsrwx Сорри, проглядел символы s, время послеобеденное, кровь от мозгов к желудку ушла... и пока что не вернулась :-)) > SB> suid на скрипты с некоторых пор признан вредным :) > SB> и не работает. > А как тогда быть ?.. man sudo То же очень полезная штучка :-) -- ******** FIRE & STEEL ******** ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт 2001-07-11 15:43 ` cornet @ 2001-07-11 17:23 ` Artem K. Jouravsky 2001-07-12 1:17 ` [mdk-re] Каждый юзер имеет право на скрипт :) Mikhail Zabaluev 2001-07-12 3:50 ` [mdk-re] Re[2]: [mdk-re] Права на скрипт Yura Gusev 0 siblings, 2 replies; 12+ messages in thread From: Artem K. Jouravsky @ 2001-07-11 17:23 UTC (permalink / raw) To: mandrake-russian Здравствуйте, cornet <cornet@zmail.ru>! От Wed, 11 Jul 2001 15:53:05 +0400 вы писали на тему Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт: > > SB> suid на скрипты с некоторых пор признан вредным :) > > SB> и не работает. > > А как тогда быть ?.. > > man sudo > > То же очень полезная штучка :-) Это да. А если надо на WEB-интерфейс повесить создание почтового ящика? Апачу права на sudo <script> выдать? ------ Best wishes, +----------------------+--------------------------+ | ."-. | Work: +7-(095)-229-4278 | | /X | _o.----. _ | ICQ: 103399444 | |/\_ \/ / __ \_// ) | Artem K. Jouravsky | |\__)-/_/\_____)____/ | http://www.ifirst.ru/ | +----------------------+--------------------------+ ^ permalink raw reply [flat|nested] 12+ messages in thread
* [mdk-re] Каждый юзер имеет право на скрипт :) 2001-07-11 17:23 ` Artem K. Jouravsky @ 2001-07-12 1:17 ` Mikhail Zabaluev 2001-07-12 3:50 ` [mdk-re] Re[2]: [mdk-re] Права на скрипт Yura Gusev 1 sibling, 0 replies; 12+ messages in thread From: Mikhail Zabaluev @ 2001-07-12 1:17 UTC (permalink / raw) To: mandrake-russian [-- Attachment #1: Type: text/plain, Size: 837 bytes --] Hello Artem, On Wed, Jul 11, 2001 at 05:40:04PM +0400, Artem K. Jouravsky wrote: > > Здравствуйте, cornet <cornet@zmail.ru>! > От Wed, 11 Jul 2001 15:53:05 +0400 вы писали на тему Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт: > > > > SB> suid на скрипты с некоторых пор признан вредным :) > > > SB> и не работает. > > > А как тогда быть ?.. > > > > man sudo > > > > То же очень полезная штучка :-) > Это да. А если надо на WEB-интерфейс повесить создание почтового ящика? > Апачу права на sudo <script> выдать? Ух-х, как опасно :) Лучше учредить институт виртуальных account'ов - через LDAP или еще как - и отдать его на поругание apache. -- Stay tuned, MhZ JID: mookid@jabber.org ___________ The generation of random numbers is too important to be left to chance. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт 2001-07-11 17:23 ` Artem K. Jouravsky 2001-07-12 1:17 ` [mdk-re] Каждый юзер имеет право на скрипт :) Mikhail Zabaluev @ 2001-07-12 3:50 ` Yura Gusev 2001-07-12 16:11 ` Artem K. Jouravsky 1 sibling, 1 reply; 12+ messages in thread From: Yura Gusev @ 2001-07-12 3:50 UTC (permalink / raw) To: mandrake-russian On Wed, 11 Jul 2001, Artem K. Jouravsky wrote: > > То же очень полезная штучка :-) > Это да. А если надо на WEB-интерфейс повесить создание почтового ящика? > Апачу права на sudo <script> выдать? Ну не нормальных же пользователей заводить??? Создай например с помощю qmail виртуальных и храни всех в базе даных. -- 7:55pm up 14 days, 22:00, 1 user, load average: 0.05, 0.11, 0.09 __ | / \ | Iouri Goussev // \\ \_\\ //_/ elendal@w4.ca _\\()//_ .'/()\'. Foo-Bar / // \\ \ jgs \\ // http://foobar.irc-unix.net | \__/ | I am not 31337. But I can use the Vi editor... ;-0 ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт 2001-07-12 3:50 ` [mdk-re] Re[2]: [mdk-re] Права на скрипт Yura Gusev @ 2001-07-12 16:11 ` Artem K. Jouravsky 2001-07-13 9:42 ` Yura Gusev 0 siblings, 1 reply; 12+ messages in thread From: Artem K. Jouravsky @ 2001-07-12 16:11 UTC (permalink / raw) To: mandrake-russian Здравствуйте, Yura Gusev <elendal@w4technology.com>! От Wed, 11 Jul 2001 19:57:29 -0400 (EDT) вы писали на тему Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт: YG> On Wed, 11 Jul 2001, Artem K. Jouravsky wrote: YG> YG> > > То же очень полезная штучка :-) YG> > Это да. А если надо на WEB-интерфейс повесить создание YG> почтового ящика? YG> > Апачу права на sudo <script> выдать? YG> Ну не нормальных же пользователей заводить??? Создай например YG> с помощю YG> qmail виртуальных и храни всех в базе даных. qmail не хочется... LDAP действительно вариант, спасибо! ------ Best wishes, +----------------------+--------------------------+ | ."-. | Work: +7-(095)-229-4278 | | /X | _o.----. _ | ICQ: 103399444 | |/\_ \/ / __ \_// ) | Artem K. Jouravsky | |\__)-/_/\_____)____/ | http://www.ifirst.ru/ | +----------------------+--------------------------+ ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт 2001-07-12 16:11 ` Artem K. Jouravsky @ 2001-07-13 9:42 ` Yura Gusev 2001-07-13 23:14 ` [mdk-re] " Mikhail Zabaluev 0 siblings, 1 reply; 12+ messages in thread From: Yura Gusev @ 2001-07-13 9:42 UTC (permalink / raw) To: mandrake-russian > YG> > Это да. А если надо на WEB-интерфейс повесить создание > YG> почтового ящика? > YG> > Апачу права на sudo <script> выдать? > YG> Ну не нормальных же пользователей заводить??? Создай например > YG> с помощю > YG> qmail виртуальных и храни всех в базе даных. > > qmail не хочется... LDAP действительно вариант, спасибо! А почему интересно? Самы быстрый и надёжный почтовик из мне извесных. Из-за его модульности можно его очень тонко настраивать. Удобные конфиги плюс более надёжный формат хранения писем. Его в дистрибютивы не включают только из-за того что его нельзя в бинарниках распространять. -- 1:42am up 16 days, 3:47, 1 user, load average: 0.03, 0.09, 0.08 __ | / \ | Iouri Goussev // \\ \_\\ //_/ elendal@w4.ca _\\()//_ .'/()\'. Foo-Bar / // \\ \ jgs \\ // http://foobar.irc-unix.net | \__/ | I am not 31337. But I can use the Vi editor... ;-0 ^ permalink raw reply [flat|nested] 12+ messages in thread
* [mdk-re] Re: Права на скрипт 2001-07-13 9:42 ` Yura Gusev @ 2001-07-13 23:14 ` Mikhail Zabaluev 0 siblings, 0 replies; 12+ messages in thread From: Mikhail Zabaluev @ 2001-07-13 23:14 UTC (permalink / raw) To: mandrake-russian Hello Yura, On Fri, Jul 13, 2001 at 01:48:13AM -0400, Yura Gusev wrote: > > > > YG> > Это да. А если надо на WEB-интерфейс повесить создание > > YG> почтового ящика? > > YG> > Апачу права на sudo <script> выдать? > > YG> Ну не нормальных же пользователей заводить??? Создай например > > YG> с помощю > > YG> qmail виртуальных и храни всех в базе даных. > > > > qmail не хочется... LDAP действительно вариант, спасибо! > > А почему интересно? Самы быстрый и надёжный почтовик из мне извесных. > Из-за его модульности можно его очень тонко настраивать. Удобные конфиги > плюс более надёжный формат хранения писем. Его в дистрибютивы не включают > только из-за того что его нельзя в бинарниках распространять. Не то чтобы совсем нельзя распространять, но нельзя распространять в виде, отличном от авторского. Например, в совместимом с LSB. -- Stay tuned, MhZ JID: mookid@jabber.org ___________ Practical politics consists in ignoring facts. -- Henry Adams ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Права на скрипт 2001-07-11 15:16 ` [mdk-re] Права на скрипт cornet 2001-07-11 15:23 ` Sergey Bolshakov @ 2001-07-11 15:55 ` Artem K. Jouravsky 1 sibling, 0 replies; 12+ messages in thread From: Artem K. Jouravsky @ 2001-07-11 15:55 UTC (permalink / raw) To: mandrake-russian Здравствуйте, cornet <cornet@zmail.ru>! От Wed, 11 Jul 2001 15:23:42 +0400 вы писали на тему Re: [mdk-re] Права на скрипт: > > Mikhail Nikitin wrote: > > > > Существует скрипт который выполняет некоторую работу, и > > добавляет пользователя unix (создает нового) с помощью > adduser. > > На скрипт выставлены все максимально возможные права: > > (пока для тестирования) -rwsrwsrwx. > > > > При этом при попытке использовать внутри скрипта команду > > adduser > > выдается сообщение: > > adduser: unable to lock password file > > (если пользователь, запускающий скрипт - не root, иначе - все > > ок). > > > > Как бороться с этим, если предполагается, что в дальнейшем > > права на скрипте будут стоять только на запуск? > > > > Не зависимо то пермишенов скрипт идет с правами того, кто его > запустил. > Поставите suid бит и будет идти с правами владельца, а не > запустившего. > Но это не всегда работает, вот например smbpasswd через suid > работать не хочет ;-)) Судя по пермишнам как раз стоит SUID (rws)... Мне когда такое надо было, пришлось напрямую с /etc/passwd и /etc/shadow работать :( ------ Best wishes, +----------------------+--------------------------+ | ."-. | Work: +7-(095)-229-4278 | | /X | _o.----. _ | ICQ: 103399444 | |/\_ \/ / __ \_// ) | Artem K. Jouravsky | |\__)-/_/\_____)____/ | http://www.ifirst.ru/ | +----------------------+--------------------------+ ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2001-07-13 23:14 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2001-07-11 15:16 ` [mdk-re] Права на скрипт cornet 2001-07-11 15:23 ` Sergey Bolshakov 2001-07-11 15:32 ` cornet 2001-07-11 15:34 ` [mdk-re] Re[2]: " Ilya 2001-07-11 15:43 ` cornet 2001-07-11 17:23 ` Artem K. Jouravsky 2001-07-12 1:17 ` [mdk-re] Каждый юзер имеет право на скрипт :) Mikhail Zabaluev 2001-07-12 3:50 ` [mdk-re] Re[2]: [mdk-re] Права на скрипт Yura Gusev 2001-07-12 16:11 ` Artem K. Jouravsky 2001-07-13 9:42 ` Yura Gusev 2001-07-13 23:14 ` [mdk-re] " Mikhail Zabaluev 2001-07-11 15:55 ` [mdk-re] " Artem K. Jouravsky
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git