[announce] exec-wrapper v1.0 - утилита для автоматической генерации setuid-врапперов для сркриптов

0

0

Написал небольшую утилиту, которая позволяет автоматически генерировать setuid-врапперы для скриптов. Возможно кому-то пригодится.

Зачем это надо? Это надо затем, что просто установка setuid-бита на каком-нибудь скрипте не работает как ожидается (по крайней мере в linux'е), так как реально запускается не сам скрипт, а интерпретатор, на котором setuid-бита нет. Выходом является написание небольшой программы-враппера на Си, которая просто запускает скрипт. Чтобы не нужно было делать это вручную, я и написал эту небольшую утилиту (скрипт на шелле).

Скачать: http://exec-wrapper.googlecode.com/files/exec-wrapper-1.0.tar.bz2 Установка:

make install

Помощь (на корявом английском =)):

man 8 exec-wrapper

Примеры использования:

exec-wrapper touch

Созаёт враппер /opt/exec-wrapper/bin/touch, который могут запускать пользователи, находящиеся в группе root. На враппере стоит setuid-бит, так что touch всегда будет запущен с правами root'а.

exec-wrapper -A du

Почти то же самое, но только для du и запускать могут все пользователи.

exec-wrapper -g apache /var/www/cgi-bin/script.pl /var/www/cgi-bin/script

Пример использования для CGI-скриптов.

exec-wrapper -a -Wall -a -Wextra -e LANG=POSIX -m 0755 gcc

А это пример использования не совсем по прямому назначению. Полученный враппер будет без setuid-бита. Он будет просто запускать GCC с двумя дополнительными опциями (-Wall и -Wextra) и локалью POSIX.

Чтобы врапперы запускались вместо обычных программ по умолчанию, нужно добавить в PATH путь до них:

PATH="/opt/exec-wrapper/bin:$PATH"

P.S. Изложил сумбурно, но думаю поймёте...

Ссылка

←	swap. почему-то лезет в него хотя память свободная есть

[gentoo][nagios] cgi-bin

→

Дак вроде sudo хватало, хотя, может и нет.

А вот строчка:

tmp=$( mktemp -d || die "Can't create temporary directory" )

не понравилась, вроде mktemp требует (требовала) указания шаблона и, вроде die здесь бесполезен, так как порождается отдельный суб-шел и exit (die) будет в нём, вроде нужно что-то наподобие:

tmp=$( mktemp -d Шаблон )|| die "Can't create temporary directory"

mky ★★★★★
(24.05.09 22:55:21 MSD)

Ответ на: комментарий от mky 24.05.09 22:55:21 MSD

> Дак вроде sudo хватало, хотя, может и нет.

Sudo проблематично использовать для cgi-скриптов.

> не понравилась, вроде mktemp требует (требовала) указания шаблона и, вроде die здесь бесполезен, так как порождается отдельный суб-шел и exit (die) будет в нём, вроде нужно что-то наподобие:

Судя по man mktemp - шаблон не обязателен, но на всякой случай добавлю. Вынес die за скобки. Спасибо за багрепорт (пофикшено в svn) =).

Deleted
(25.05.09 07:14:59 MSD)

Ответ на: комментарий от Deleted 25.05.09 07:14:59 MSD

>Sudo проблематично использовать для cgi-скриптов.

поясни, пожалуйста.

~~sdio~~ ★★★★★
(25.05.09 09:29:57 MSD)

Ответ на: комментарий от sdio 25.05.09 09:29:57 MSD

> поясни, пожалуйста.

У меня так и не получилось заставить lighttpd запускать скрипт через sudo. Возможно виноваты руки. Да и конфиг у sudo довольно мутный.

А вообще эта утилита появилась в результате небольшого срача на канале #linux в rusnet'е. Там один товарищ очень хотел дать всем пользователям право устанавливать софт через emerge. Причём sudo его не устраивал, так как нужно явно набирать sudo emerge, а ему хотелось просто emerge. Альяс на sudo emerge ему тоже не понравился. Попытки как-либо вразумить его на тему безопасности так же не увенчались успехом.

Deleted
(25.05.09 09:47:57 MSD)

Ответ на: комментарий от Deleted 25.05.09 09:47:57 MSD

> враппер /opt/exec-wrapper/bin/touch, который могут запускать
> пользователи, находящиеся в группе root. На враппере стоит
> setuid-бит, так что touch всегда будет запущен с правами root'а.

$ /etc/sudoers
Cmnd_Alias      RootGroupCMDs = /usr/bin/touch
Cmnd_Alias      AllUserCMDs   = /usr/bin/du
Cmnd_Alias      CGI_CMDs      = /var/www/cgi-bin/script1.pl,/var/www/cgi-bin/script2.pl

%root   ALL=(root) NOPASSWD:RootGroupCMDs
%apache ALL=(root) NOPASSWD:CGI_CMDs
ALL     ALL=(root) NOPASSWD:AllUserCMDs

$ cat /opt/exec-wrapper/bin/touch
#!/bin/sh
exec sudo /usr/bin/touch "@*"


Где-то так, если я правильно понял постановку задачи.
Скрипт правящий /etc/sudoers и создающий обертку в 
/opt/exec-wrapper/bin/ будет того же уровня сложности.


>Там один товарищ очень хотел дать всем пользователям право
> устанавливать софт через emerge.

Фтопку!

~~sdio~~ ★★★★★
(25.05.09 10:39:28 MSD)

Ответ на: комментарий от sdio 25.05.09 10:39:28 MSD

> $ /etc/sudoers
> ...
> $ cat /opt/exec-wrapper/bin/touch
> ...

Те же йайца. Только кроме враппера нужно ещё sudo.

Deleted
(25.05.09 11:22:44 MSD)

Ответ на: комментарий от Deleted 25.05.09 11:22:44 MSD

>Те же йайца.

Ясное дело.

>Только кроме враппера нужно ещё sudo.

У sudo больше возможностей и он один на всех, а бинарный враппер будет плодиться, имеет хардкодед параметры запуска и кроме того требует gcc.

~~sdio~~ ★★★★★
(25.05.09 13:10:40 MSD)

Ответ на: комментарий от sdio 25.05.09 13:10:40 MSD

> У sudo больше возможностей и он один на всех, а бинарный враппер будет плодиться, имеет хардкодед параметры запуска и кроме того требует gcc.

sudo тоже не везде есть =).

Deleted
(25.05.09 13:16:21 MSD)

Ответ на: комментарий от Deleted 25.05.09 13:16:21 MSD

Если нельзя поставить sudo, но можно закинуть свои бинарники, то это странное место.
И да, пожалуйста, никто не запрещает ездить на своем велосипеде, я и сам частенько этим грешу.

~~sdio~~ ★★★★★
(25.05.09 13:18:51 MSD)