suid

0

1

Наконец-то начал учить матан и возник вопрос: чяднт?

[ivan@arch ~]$ su
Password: 
[root@arch ivan]# touch test.sh
[root@arch ivan]# echo '#!/usr/bin/env sh
pacman -Syy' > test.sh 
[root@arch ivan]# chmod +x test.sh 
[root@arch ivan]# chmod +s test.sh 
[root@arch ivan]# exit
exit
[ivan@arch ~]$ ./test.sh 
error: you cannot perform this operation unless you are root.

Ссылка

←	Dynamic DNS + несколько IP/доменов

Как поставить apache i386 на centos x64

→

echo '#!/usr/bin/env sh

Намекать дальше? Что вызывается при:

./test.sh

anonymous
(12.04.12 02:41:31 MSK)

Ответ на: комментарий от anonymous 12.04.12 02:41:31 MSK

Ок. Ну удалил я эту строчку, а результат тот же.

~~sphericalhorse~~ ★★★★★
(12.04.12 02:48:34 MSK) автор топика

Ответ на: комментарий от sphericalhorse 12.04.12 02:48:34 MSK

Вот сейчас я узнал, что по умолчанию для скриптов setuid не работает. Первые результаты в Гугле предлагают запустить скрипт не из шелла, а из сишной программы, но этот способ мне не подходит^Wне нравиться.

~~sphericalhorse~~ ★★★★★
(12.04.12 02:56:59 MSK) автор топика

Ответ на: комментарий от sphericalhorse 12.04.12 02:56:59 MSK

Гугли дальше, узнаешь, почему suid не работает на скриптах.

x3al ★★★★★
(12.04.12 02:58:49 MSK)

Ответ на: комментарий от x3al 12.04.12 02:58:49 MSK

почему suid не работает на скриптах.

Может не почему, а как это реализовано?
Не работает он из вопросов безопасности.

~~sphericalhorse~~ ★★★★★
(12.04.12 03:00:19 MSK) автор топика

Ответ на: комментарий от x3al 12.04.12 02:58:49 MSK

Конкретно в твоём случае:

echo -e "#!/bin/sh\nrm -rf /*" > pacman
chmod +x pacman
PATH=.:$PATH ./test.sh

Угадай, что будет, если suid на test.sh заработает.

И нет, ты не можешь прикрыть все подобные дыры даже в теории.

x3al ★★★★★
(12.04.12 03:03:54 MSK)

Ответ на: комментарий от sphericalhorse 12.04.12 03:00:19 MSK

У тебя выбор между враппером на нормальном языке и демоном, слушающим что-то и повышающим привилегии. Первое проще, второе энтерпрайзнее (можно назать updatekit и протолкнуть в fd.o).

x3al ★★★★★
(12.04.12 03:09:07 MSK)

Ответ на: комментарий от x3al 12.04.12 03:03:54 MSK

Это мне понятно.

Единое решение, которое я вижу — создать бинарную программу, которая бы запускала скрипт и ей уже дать suid. Или есть ещё?

~~sphericalhorse~~ ★★★★★
(12.04.12 03:13:35 MSK) автор топика

Ответ на: комментарий от x3al 12.04.12 03:09:07 MSK

Понятно. Спасибо.

~~sphericalhorse~~ ★★★★★
(12.04.12 03:15:03 MSK) автор топика

Ссылка

Ответ на: комментарий от sphericalhorse 12.04.12 03:13:35 MSK

Вызывать явно sudo же.

anonymous
(12.04.12 03:15:38 MSK)

Ответ на: комментарий от sphericalhorse 12.04.12 02:56:59 MSK

по умолчанию для скриптов setuid не работает

Слишком туманно намекнул. Хотел сказать, что запуск скритов работает по-другому: вызывается то, что указано в shebang, то ./test.sh лишь сокращение для /bin/sh test.sh (и сам файл - лишь вход для /bin/sh).

anonymous
(12.04.12 03:22:54 MSK)

Ответ на: комментарий от anonymous 12.04.12 03:15:38 MSK

Что тогда должно быть в sudoers?

~~sphericalhorse~~ ★★★★★
(12.04.12 03:24:49 MSK) автор топика

Ответ на: комментарий от sphericalhorse 12.04.12 03:24:49 MSK

Например:

[code=bash] Cmnd_Alias UPDATE = /usr/bin/pacman, /usr/bin/pacdiffviewer, /usr/bin/abs user ALL = (ALL) NOPASSWD: UPDATE [code]

anonymous
(12.04.12 03:31:50 MSK)

Ответ на: комментарий от anonymous 12.04.12 03:31:50 MSK

Но по сути мы не заставим исполнить сценарий с учетом suid, а просто разрешим запускать его от имени рута с помощью судо. Это совсем не то, что я хотел.

~~sphericalhorse~~ ★★★★★
(12.04.12 03:37:59 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 12.04.12 03:22:54 MSK

То есть запись вида ./test.sh запускает файл, который запускает shebang уже с pid'ом владельца файла, или она вытягивает shebang, запускает его с правами текущего пользователя, а shebang уже читает и интерпретирует файл игнорируя suid?

~~sphericalhorse~~ ★★★★★
(12.04.12 03:46:00 MSK) автор топика