Re: [mdk-re] Права на скрипт

Re: [mdk-re] Права на скрипт

[cornet]

> Mikhail Nikitin wrote:
> 
> Существует скрипт который выполняет некоторую работу, и
> добавляет пользователя unix (создает нового) с помощью adduser.
> На скрипт выставлены все максимально возможные права:
> (пока для тестирования) -rwsrwsrwx.
> 
> При этом при попытке использовать внутри скрипта команду
> adduser
> выдается сообщение:
> adduser: unable to lock password file
> (если пользователь, запускающий скрипт - не root, иначе - все
> ок).
> 
> Как бороться с этим, если предполагается, что в дальнейшем
> права на скрипте будут стоять только на запуск?
> 

Не зависимо то пермишенов скрипт идет с правами того, кто его
запустил.
Поставите suid бит и будет идти с правами владельца, а не
запустившего.
Но это не всегда работает, вот например smbpasswd через suid
работать не хочет ;-))

-- 
******** FIRE & STEEL ********

Re: [mdk-re] Права на скрипт

[Sergey Bolshakov]

>>>>> "cornet" == cornet  writes:

 >> Mikhail Nikitin wrote:
 >> 
 >> Существует скрипт который выполняет некоторую работу, и добавляет
 >> пользователя unix (создает нового) с помощью adduser.  На скрипт
 >> выставлены все максимально возможные права: (пока для тестирования)
 >> -rwsrwsrwx.
 >> 
 >> При этом при попытке использовать внутри скрипта команду adduser выдается
 >> сообщение: adduser: unable to lock password file (если пользователь,
 >> запускающий скрипт - не root, иначе - все ок).
 >> 
 >> Как бороться с этим, если предполагается, что в дальнейшем права на
 >> скрипте будут стоять только на запуск?
 >> 

 cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его
 cornet> запустил.  Поставите suid бит и будет идти с правами владельца, а не
 cornet> запустившего.  Но это не всегда работает, вот например smbpasswd
 cornet> через suid работать не хочет ;-))
suid на скрипты с некоторых пор признан вредным :)
и не работает.

Re: [mdk-re] Права на скрипт

[cornet]

Sergey Bolshakov wrote:
> 
> >>>>> "cornet" == cornet  writes:
> 
>  >> Mikhail Nikitin wrote:
>  >>
>  >> Существует скрипт который выполняет некоторую работу, и добавляет
>  >> пользователя unix (создает нового) с помощью adduser.  На скрипт
>  >> выставлены все максимально возможные права: (пока для тестирования)
>  >> -rwsrwsrwx.
>  >>
>  >> При этом при попытке использовать внутри скрипта команду adduser выдается
>  >> сообщение: adduser: unable to lock password file (если пользователь,
>  >> запускающий скрипт - не root, иначе - все ок).
>  >>
>  >> Как бороться с этим, если предполагается, что в дальнейшем права на
>  >> скрипте будут стоять только на запуск?
>  >>
> 
>  cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его
>  cornet> запустил.  Поставите suid бит и будет идти с правами владельца, а не
>  cornet> запустившего.  Но это не всегда работает, вот например smbpasswd
>  cornet> через suid работать не хочет ;-))
> suid на скрипты с некоторых пор признан вредным :)
> и не работает.

О том, что это вредно для безопасности ни кто не спорит :-))
Однако до недавнего времени работало :-), по крайней мере в
RE7.0, в Спринге не пробовал ни разу, ибо знаю - вредно.

-- 
******** FIRE & STEEL ********

[mdk-re] Re[2]: [mdk-re] Права на скрипт

[Ilya]

SB>  cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его
SB>  cornet> запустил.  Поставите suid бит и будет идти с правами владельца, а не
SB>  cornet> запустившего.  Но это не всегда работает, вот например smbpasswd
SB>  cornet> через suid работать не хочет ;-))
Там же написано что стоит все -rwsrwsrwx

SB> suid на скрипты с некоторых пор признан вредным :)
SB> и не работает.
А как тогда быть ?..

Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт

[cornet]

Ilya wrote:
> 
> SB>  cornet> Не зависимо то пермишенов скрипт идет с правами того, кто его
> SB>  cornet> запустил.  Поставите suid бит и будет идти с правами владельца, а не
> SB>  cornet> запустившего.  Но это не всегда работает, вот например smbpasswd
> SB>  cornet> через suid работать не хочет ;-))
> Там же написано что стоит все -rwsrwsrwx

Сорри, проглядел символы s, время послеобеденное, кровь от мозгов
к желудку ушла... и пока что не вернулась :-))

> SB> suid на скрипты с некоторых пор признан вредным :)
> SB> и не работает.
> А как тогда быть ?..

man sudo

То же очень полезная штучка :-)
-- 
******** FIRE & STEEL ********

Re: [mdk-re] Права на скрипт

[Artem K. Jouravsky]

Здравствуйте, cornet <cornet@zmail.ru>!
От Wed, 11 Jul 2001 15:23:42 +0400 вы писали на тему Re: [mdk-re] Права на скрипт:

> > Mikhail Nikitin wrote:
> > 
> > Существует скрипт который выполняет некоторую работу, и
> > добавляет пользователя unix (создает нового) с помощью
> adduser.
> > На скрипт выставлены все максимально возможные права:
> > (пока для тестирования) -rwsrwsrwx.
> > 
> > При этом при попытке использовать внутри скрипта команду
> > adduser
> > выдается сообщение:
> > adduser: unable to lock password file
> > (если пользователь, запускающий скрипт - не root, иначе - все
> > ок).
> > 
> > Как бороться с этим, если предполагается, что в дальнейшем
> > права на скрипте будут стоять только на запуск?
> > 
> 
> Не зависимо то пермишенов скрипт идет с правами того, кто его
> запустил.
> Поставите suid бит и будет идти с правами владельца, а не
> запустившего.
> Но это не всегда работает, вот например smbpasswd через suid
> работать не хочет ;-))
Судя по пермишнам как раз стоит SUID (rws)... Мне когда такое надо было,
пришлось напрямую с /etc/passwd и /etc/shadow работать :(


------
Best wishes,
+----------------------+--------------------------+
|  ."-.                |  Work: +7-(095)-229-4278 |
| /X  | _o.----.    _  |  ICQ:  103399444         |
|/\_  \/ /  __  \_// ) |  Artem K. Jouravsky      |
|\__)-/_/\_____)____/  |  http://www.ifirst.ru/   |
+----------------------+--------------------------+		      

Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт

[Artem K. Jouravsky]

Здравствуйте, cornet <cornet@zmail.ru>!
От Wed, 11 Jul 2001 15:53:05 +0400 вы писали на тему Re: [mdk-re] Re[2]: [mdk-re]  Права на скрипт:

> > SB> suid на скрипты с некоторых пор признан вредным :)
> > SB> и не работает.
> > А как тогда быть ?..
> 
> man sudo
> 
> То же очень полезная штучка :-)
Это да. А если надо на WEB-интерфейс повесить создание почтового ящика?
Апачу права на sudo <script> выдать?

------
Best wishes,
+----------------------+--------------------------+
|  ."-.                |  Work: +7-(095)-229-4278 |
| /X  | _o.----.    _  |  ICQ:  103399444         |
|/\_  \/ /  __  \_// ) |  Artem K. Jouravsky      |
|\__)-/_/\_____)____/  |  http://www.ifirst.ru/   |
+----------------------+--------------------------+		      

[mdk-re] Каждый юзер имеет право на скрипт :)

[Mikhail Zabaluev]

[-- Attachment #1: Type: text/plain, Size: 837 bytes --]

Hello Artem,

On Wed, Jul 11, 2001 at 05:40:04PM +0400, Artem K. Jouravsky wrote:
>
> Здравствуйте, cornet <cornet@zmail.ru>!
> От Wed, 11 Jul 2001 15:53:05 +0400 вы писали на тему Re: [mdk-re] Re[2]: [mdk-re]  Права на скрипт:
> 
> > > SB> suid на скрипты с некоторых пор признан вредным :)
> > > SB> и не работает.
> > > А как тогда быть ?..
> > 
> > man sudo
> > 
> > То же очень полезная штучка :-)
> Это да. А если надо на WEB-интерфейс повесить создание почтового ящика?
> Апачу права на sudo <script> выдать?

Ух-х, как опасно :)
Лучше учредить институт виртуальных account'ов - через LDAP или еще как
- и отдать его на поругание apache.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
The generation of random numbers is too important to be left to chance.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт

[Yura Gusev]

On Wed, 11 Jul 2001, Artem K. Jouravsky wrote:

> > То же очень полезная штучка :-)
> Это да. А если надо на WEB-интерфейс повесить создание почтового ящика?
> Апачу права на sudo <script> выдать?
Ну не нормальных же пользователей заводить??? Создай например с помощю
qmail виртуальных и храни всех в базе даных.


-- 
  7:55pm  up 14 days, 22:00,  1 user,  load average: 0.05, 0.11, 0.09
            __
         | /  \ |        Iouri Goussev            //  \\
        \_\\  //_/       elendal@w4.ca           _\\()//_
         .'/()\'.           Foo-Bar             / //  \\ \
   jgs    \\  //   http://foobar.irc-unix.net    | \__/ |
    I am not 31337. But I can use the Vi editor... ;-0

Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт

[Artem K. Jouravsky]

Здравствуйте, Yura Gusev <elendal@w4technology.com>!
От Wed, 11 Jul 2001 19:57:29 -0400 (EDT) вы писали на тему Re: [mdk-re] Re[2]: [mdk-re]  Права на скрипт:

YG> On Wed, 11 Jul 2001, Artem K. Jouravsky wrote:
YG> 
YG> > > То же очень полезная штучка :-)
YG> > Это да. А если надо на WEB-интерфейс повесить создание
YG> почтового ящика?
YG> > Апачу права на sudo <script> выдать?
YG> Ну не нормальных же пользователей заводить??? Создай например
YG> с помощю
YG> qmail виртуальных и храни всех в базе даных.

qmail не хочется... LDAP действительно вариант, спасибо!


------
Best wishes,
+----------------------+--------------------------+
|  ."-.                |  Work: +7-(095)-229-4278 |
| /X  | _o.----.    _  |  ICQ:  103399444         |
|/\_  \/ /  __  \_// ) |  Artem K. Jouravsky      |
|\__)-/_/\_____)____/  |  http://www.ifirst.ru/   |
+----------------------+--------------------------+		      

Re: [mdk-re] Re[2]: [mdk-re] Права на скрипт

[Yura Gusev]

> YG> > Это да. А если надо на WEB-интерфейс повесить создание
> YG> почтового ящика?
> YG> > Апачу права на sudo <script> выдать?
> YG> Ну не нормальных же пользователей заводить??? Создай например
> YG> с помощю
> YG> qmail виртуальных и храни всех в базе даных.
>
> qmail не хочется... LDAP действительно вариант, спасибо!

А почему интересно? Самы быстрый и надёжный почтовик из мне извесных.
Из-за его модульности можно его очень тонко настраивать. Удобные конфиги
плюс более надёжный формат хранения писем. Его в дистрибютивы не включают
только из-за того что его нельзя в бинарниках распространять.


-- 
  1:42am  up 16 days,  3:47,  1 user,  load average: 0.03, 0.09, 0.08
            __
         | /  \ |        Iouri Goussev            //  \\
        \_\\  //_/       elendal@w4.ca           _\\()//_
         .'/()\'.           Foo-Bar             / //  \\ \
   jgs    \\  //   http://foobar.irc-unix.net    | \__/ |
    I am not 31337. But I can use the Vi editor... ;-0

[mdk-re] Re: Права на скрипт

[Mikhail Zabaluev]

Hello Yura,

On Fri, Jul 13, 2001 at 01:48:13AM -0400, Yura Gusev wrote:
>
> 
> > YG> > Это да. А если надо на WEB-интерфейс повесить создание
> > YG> почтового ящика?
> > YG> > Апачу права на sudo <script> выдать?
> > YG> Ну не нормальных же пользователей заводить??? Создай например
> > YG> с помощю
> > YG> qmail виртуальных и храни всех в базе даных.
> >
> > qmail не хочется... LDAP действительно вариант, спасибо!
> 
> А почему интересно? Самы быстрый и надёжный почтовик из мне извесных.
> Из-за его модульности можно его очень тонко настраивать. Удобные конфиги
> плюс более надёжный формат хранения писем. Его в дистрибютивы не включают
> только из-за того что его нельзя в бинарниках распространять.

Не то чтобы совсем нельзя распространять, но нельзя распространять в виде,
отличном от авторского. Например, в совместимом с LSB.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Practical politics consists in ignoring facts.
		-- Henry Adams