ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / О жизни и вообще [root]
25 сообщений из 29, страница 1 из 2
  1  все
О жизни и вообще [root]
    #36052923
Фотография T800
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
T800
Участник
Господа, добрый вечер.
Это вопрос общепознавательного характера.
Меня интересует методология администрирования POSIX-систем. Несмотря на то, что приходится много работать в окружении Linux/Unix, мне до конца не понятно как и почему назначаются права в системе. Понятно, что это зависит он сексуальных предпочтений админа, но есть же традиционные формы? Такое ощущение, что настроить пользователя для полноценной работы настолько геморройно, что вся работа все равно происходит с постоянным переключением на рута.
Установить любой софт - будь рутом. Не неким привилегированным пользователем, а именно рутом. Запустить/остановить базу - будь опять рутом. По умолчанию права на запись в /dev/null и то только у рута. Поднять веб-сервер - будь рутом. Задеплоить приложение - будь рутом. Кашлянуть громко - и то не полагается - стань рутом - потом только кашляй. Причем инструкции по работе с софтом в половине случаев непринужденно гласят "данная операция разрешена только суперпользователю".

Скажите пожалуйста, практикуется ли вообще создание/использование пользователей, обладающих правом установки приложений и каким-то набором админских функций? Или же все давно свелось к тому, что пользователи создаются чисто для некой минимальной работы с файлами, а все более-менее серьезные вещи делаются тупо из-под рута и никто не заморачивается созданием администратора БД базы или администратора веб-сервера?

Спасибо.
...
Рейтинг: 0 / 0
22.06.2009, 02:02
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36052935
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
T800
Установить любой софт - будь рутом. Не неким привилегированным пользователем, а именно рутом. ага, а как же $PATH и $LD_LIBRARY_PATH ($LIBPATH)
T800Запустить/остановить базу - будь опять рутом. какую? mysql? - он не из-под root работает
T800По умолчанию права на запись в /dev/null и то только у рута. O_o
T800Поднять веб-сервер - будь рутом. все порты, что выше 1024 непривилегированные - пользуйтесь
...
Рейтинг: 0 / 0
22.06.2009, 02:15
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36052938
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
> По умолчанию права на запись в /dev/null и то только у рута.

Это в какой ОС такое?
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
22.06.2009, 02:18
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053038
Фотография Ёш
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ёш
Участник
T800
Скажите пожалуйста, практикуется ли вообще создание/использование пользователей, обладающих правом установки приложений и каким-то набором админских функций?man sudo
общие приложения должен ставить root, иначе это ломает безопасность. пользователю можно разрешить ставить приложения локально себе в home.
T800Или же все давно свелось к тому, что пользователи создаются чисто для некой минимальной работы с файлами, а все более-менее серьезные вещи делаются тупо из-под рута и никто не заморачивается созданием администратора БД базы или администратора веб-сервера?postgres например по умолчанию запрещает управлять собой из под root'а, нужно быть пользователем под которым работает база, например в Debian по умолчанию это пользователь postgres:
Код: plaintext
1.
# createdb asdf
createdb: не удалось соединиться к базе postgres: FATAL:  Ident authentication failed for user "root"
...
Рейтинг: 0 / 0
22.06.2009, 08:51
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053079
Фотография T800
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
T800
Участник
vkle
> По умолчанию права на запись в /dev/null и то только у рута.

Это в какой ОС такое?

Это в последнем Дебиане, с которым пришлось работать. Возможно, конечно, это так админ отличился (вернее, человек, который ставил ось на сервер), но я не думаю, что человек устроил такое западло руками.
...
Рейтинг: 0 / 0
22.06.2009, 09:41
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053096
Фотография T800
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
T800
Участник
ЁшT800
Скажите пожалуйста, практикуется ли вообще создание/использование пользователей, обладающих правом установки приложений и каким-то набором админских функций?man sudo
общие приложения должен ставить root, иначе это ломает безопасность. пользователю можно разрешить ставить приложения локально себе в home.
T800Или же все давно свелось к тому, что пользователи создаются чисто для некой минимальной работы с файлами, а все более-менее серьезные вещи делаются тупо из-под рута и никто не заморачивается созданием администратора БД базы или администратора веб-сервера?postgres например по умолчанию запрещает управлять собой из под root'а, нужно быть пользователем под которым работает база, например в Debian по умолчанию это пользователь postgres:
Код: plaintext
1.
# createdb asdf
createdb: не удалось соединиться к базе postgres: FATAL:  Ident authentication failed for user "root"

Не, ну я не из леса вышел :) Что такое sudo - в курсе.
Насчет той же Sudo - логика данной вещи мне непонятена совсем. Если пользователю делигируются права суперпользователя, причем, верификация идет по паролю самого пользователя - какой смысл? Переспросить у пользователя пароль? Т.е. по мне логичнее было бы просто разрешить пользователю выполнять те же операции, не мучая его sudo - все равно он их сделает. Или задача sudo заставить подумать перед тем как что-то выполнить?
...
Рейтинг: 0 / 0
22.06.2009, 09:51
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053107
Фотография T800
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
T800
Участник
Андрей ПанфиловT800
Установить любой софт - будь рутом. Не неким привилегированным пользователем, а именно рутом. ага, а как же $PATH и $LD_LIBRARY_PATH ($LIBPATH)

А можно здесь чуть подробнее? Я не понял, что имелось ввиду.
Андрей Панфилов
T800Запустить/остановить базу - будь опять рутом. какую? mysql? - он не из-под root работает

И ставится тоже?
Андрей Панфилов
T800По умолчанию права на запись в /dev/null и то только у рута. O_o

Да я сам в шоке :)
user@h1465226:~/me/run$ start_ftp.bash &
./start_ftp.bash: line 1: /dev/null2: Permission denied

в start_ftp.bash вывод перенаправляется в /dev/null
Запустить скрипт смог только рут.

Андрей Панфилов
T800Поднять веб-сервер - будь рутом. все порты, что выше 1024 непривилегированные - пользуйтесь
Т.е. это реально используется когда тот же Томкат админится без Sudo или переключения в root?
...
Рейтинг: 0 / 0
22.06.2009, 10:00
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053154
skelet
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
skelet
Участник
T800
1.
Установить любой софт - будь рутом. Не неким привилегированным пользователем, а именно рутом.
2. Запустить/остановить базу - будь опять рутом.
3. По умолчанию права на запись в /dev/null и то только у рута.
1. гон
2. гон, хотя в прочемхз что там у вас за "база", но oracle стопится нормально и так
3. лол
Код: plaintext
1.
2.
3.
[root@host2 ~]# ls -l /dev/null
crw-rw-rw-  1  root root  1 ,  3  Июн  16   18 : 23  /dev/null
[root@host2 ~]#
...
Рейтинг: 0 / 0
22.06.2009, 10:22
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053157
skelet
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
skelet
Участник
T800
Это в последнем Дебиане, с которым пришлось работать. Возможно, конечно, это так админ отличился (вернее, человек, который ставил ось на сервер), но я не думаю, что человек устроил такое западло руками.
пля ппц а версию назвать слабо? откуда мы тут знаем что за "последний" у вас дебиан. ... и вообще переходите на RHEL ;)
...
Рейтинг: 0 / 0
22.06.2009, 10:24
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053162
Фотография Ёш
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ёш
Участник
T800vkle
> По умолчанию права на запись в /dev/null и то только у рута.

Это в какой ОС такое?

Это в последнем Дебиане, с которым пришлось работать. Возможно, конечно, это так админ отличился (вернее, человек, который ставил ось на сервер), но я не думаю, что человек устроил такое западло руками.
$ ls -la /dev/null
crw-rw-rw- 1 root root 1, 3 Июн 22 2009 /dev/null
$ lsb_release -id
Distributor ID: Debian
Description: Debian GNU/Linux 5.0.1 (lenny)

T800Насчет той же Sudo - логика данной вещи мне непонятена совсем. Если пользователю делигируются права суперпользователя, причем, верификация идет по паролю самого пользователя - какой смысл?в этом и смысл — делегировать права суперпользователя, что не ясно ? :) запрос пароля — дополнительная защита, что бы убедиться что команду выполняет нужный человек.
...
Рейтинг: 0 / 0
22.06.2009, 10:26
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053170
Фотография Ёш
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ёш
Участник
T800Да я сам в шоке :)
user@h1465226:~/me/run$ start_ftp.bash &
./start_ftp.bash: line 1: /dev/null2: Permission deniedа что это за файл: /dev/null2 ? Вы двойку в конец зачем приписали ? :)
...
Рейтинг: 0 / 0
22.06.2009, 10:29
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053173
skelet
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
skelet
Участник
T800
Не, ну я не из леса вышел :) Что такое sudo - в курсе.
Насчет той же Sudo - логика данной вещи мне непонятена совсем. Если пользователю делигируются права суперпользователя, причем, верификация идет по паролю самого пользователя - какой смысл? Переспросить у пользователя пароль? Т.е. по мне логичнее было бы просто разрешить пользователю выполнять те же операции, не мучая его sudo - все равно он их сделает. Или задача sudo заставить подумать перед тем как что-то выполнить?

вы ничего не поняли в sudo. Пользователю делегируются лишь права на определённые команды.
Кстати sudo не какой-то там выверт, а обычная команда.
...
Рейтинг: 0 / 0
22.06.2009, 10:30
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053210
avb1003
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
avb1003
Участник
T800
Не, ну я не из леса вышел :) Что такое sudo - в курсе.
Насчет той же Sudo - логика данной вещи мне непонятена совсем. Если пользователю делигируются права суперпользователя, причем, верификация идет по паролю самого пользователя - какой смысл? Переспросить у пользователя пароль? Т.е. по мне логичнее было бы просто разрешить пользователю выполнять те же операции, не мучая его sudo - все равно он их сделает. Или задача sudo заставить подумать перед тем как что-то выполнить?Просто быть в курсе недостаточно. Нужно немного разобраться.
/etc/sudoers
Код: plaintext
1.
...
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
vasia@www:~>/usr/sbin/apachectl stop
bash: /usr/sbin/apachectl: Permission denied
vasia@www:~>sudo -u root /usr/sbin/apachectl stop
Shutting down httpd-perl:                                       [  OK  ]
Shutting down httpd:                                            [  OK  ]
vasia@www:~>sudo -u root /usr/sbin/apachectl start
Starting httpd-perl:                                            [  OK  ]
Starting httpd:                                                 [  OK  ]
Примерно также и по остальным вопросам.
...
Рейтинг: 0 / 0
22.06.2009, 10:49
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053230
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
On Mon, 22 Jun 09 06:51:34 GMT
T800 wrote:

> Насчет той же Sudo - логика данной вещи мне непонятена совсем. Если
> пользователю делигируются права суперпользователя, причем,
> верификация идет по паролю самого пользователя - какой смысл?
> Переспросить у пользователя пароль? Т.е. по мне логичнее было бы
> просто разрешить пользователю выполнять те же операции, не мучая его
> sudo - все равно он их сделает.

Сделает тот юзер, который знает свой пароль. А не подскочивший к консоли Вася Пупкин, в то время как юзер отошёл покурить. Впрочем, в suduers можно указать NOPASSWD, тогда и пароль не будет спрашиваться.

> Или задача sudo заставить подумать перед тем как что-то выполнить?

Скорей, разрешить что то выполнить от имени root, и при этом не раскрывать пользователю рутовый пароль.
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
22.06.2009, 10:59
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053246
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
avb1003/etc/sudoers
Код: plaintext
1.
...
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl


сразу бы написали
Код: plaintext
vasia     ALL = (ALL) ALL

через apachectl шел рута получить как два пальца
...
Рейтинг: 0 / 0
22.06.2009, 11:07
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053257
Фотография Scott Tiger
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Scott Tiger
Участник
Есть технологии типа RBAC и т.п., но на практике этим редко кто пользуется. Некоторые приложения специально точатся для того, чтобы ими мог управлять непривелегированный пользователь, и в таких случаях он ими и управляет, некоторые - нет.

You can drive out nature with a pitchfork
But it always comes roaring back again
...
Рейтинг: 0 / 0
22.06.2009, 11:11
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053355
Фотография T800
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
T800
Участник
ЁшT800Да я сам в шоке :)
user@h1465226:~/me/run$ start_ftp.bash &
./start_ftp.bash: line 1: /dev/null2: Permission deniedа что это за файл: /dev/null2 ? Вы двойку в конец зачем приписали ? :)
Не, это так шелл отвечает, пробелов пожалели, понимать следует как:
1: /dev/null 2: Permission denied
...
Рейтинг: 0 / 0
22.06.2009, 11:42
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053373
avb1003
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
avb1003
Участник
Андрей Панфиловavb1003/etc/sudoers
Код: plaintext
1.
...
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl


сразу бы написали
Код: plaintext
vasia     ALL = (ALL) ALL

через apachectl шел рута получить как два пальцаЯ написал это но не в качестве рецепта администрирования apache, а в качестве примера, как
можно избежать ввода пароля в команде sudo.
Никогда не администрировал apache кроме как для себя на своем компьютере и
эту строчку написал прямо сейчас только для того, чтобы проверить, что она работает.
А как написали бы Вы?
...
Рейтинг: 0 / 0
22.06.2009, 11:49
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053449
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
avb1003Я написал это но не в качестве рецепта администрирования apache, а в качестве примера, как
можно избежать ввода пароля в команде sudo.
советы нужно давать правильные, а не вводить людей в заблуждение
avb1003А как написали бы Вы?
в sudoers нужно обязательно прописывать команды с полным путем до исполняемого файла и никогда не давать права на запуск тех программ, которые могут вызывать другое приложения (vim /etc/httpd/conf/httpd.conf - это тоже дыра, поскольку по ! можно вызывать что угодно). конкретно в вашем примере нужно так:
Код: plaintext
1.
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl stop
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl start
в противном случае пользователь Вася может запустить хттпд из-под рут с нужным ему конфигом со всеми вытекающими.
...
Рейтинг: 0 / 0
22.06.2009, 12:22
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053461
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
Андрей Панфиловв sudoers нужно обязательно прописывать команды с полным путем до исполняемого файла

читать:
в sudoers нужно обязательно прописывать команды с полным путем до исполняемого файла и необходимыми аргументами
...
Рейтинг: 0 / 0
22.06.2009, 12:25
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053644
Фотография Ёш
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ёш
Участник
T800ЁшT800Да я сам в шоке :)
user@h1465226:~/me/run$ start_ftp.bash &
./start_ftp.bash: line 1: /dev/null2: Permission deniedа что это за файл: /dev/null2 ? Вы двойку в конец зачем приписали ? :)
Не, это так шелл отвечает, пробелов пожалели, понимать следует как:
1: /dev/null 2: Permission deniedВы уверены ?
Код: plaintext
1.
2.
$ ./a.bash
./a.bash: line 5: asddsa: Permission denied
имя файла заканчивается до двоеточия, дальше слитно двоеточие, пробел и сообщение об ошибке. у меня так. так что всё указывает на то что Вы пытаетесь создать новый файл /dev/null2 на что у Вас соответственно нет прав.
...
Рейтинг: 0 / 0
22.06.2009, 13:41
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36053792
skelet
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
skelet
Участник
T800ЁшT800Да я сам в шоке :)
user@h1465226:~/me/run$ start_ftp.bash &
./start_ftp.bash: line 1: /dev/null2: Permission deniedа что это за файл: /dev/null2 ? Вы двойку в конец зачем приписали ? :)
Не, это так шелл отвечает, пробелов пожалели, понимать следует как:
1: /dev/null 2: Permission denied

зачем воду мутите, сделайте
Код: plaintext
ls -l /dev/null
и всё станет понятно.
...
Рейтинг: 0 / 0
22.06.2009, 14:34
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36054592
avb1003
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
avb1003
Участник
Андрей Панфиловavb1003Я написал это но не в качестве рецепта администрирования apache, а в качестве примера, как
можно избежать ввода пароля в команде sudo.
советы нужно давать правильные, а не вводить людей в заблуждениеЭто неправда! Я не вводил, а напротив выводил. А именно из заблуждения о возможностях
команды sudo.
Андрей Панфилов
avb1003А как написали бы Вы?
в sudoers нужно обязательно прописывать команды с полным путем до исполняемого файла и никогда не давать права на запуск тех программ, которые могут вызывать другое приложения (vim /etc/httpd/conf/httpd.conf - это тоже дыра, поскольку по ! можно вызывать что угодно). конкретно в вашем примере нужно так:
Код: plaintext
1.
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl stop
vasia     www=(root) NOPASSWD :/usr/sbin/apachectl start
в противном случае пользователь Вася может запустить хттпд из-под рут с нужным ему конфигом со всеми вытекающими.Да, я уже успел полистать книгу про страшных Linux-хакеров. Там пугали возможностью
apachectl configtest. Как-то не испугало:
Код: plaintext
1.
2.
3.
vasia@www:~>sudo -u root /usr/sbin/apachectl configtest
Checking configuration sanity for httpd:                        [  OK  ]
Checking configuration sanity for httpd-perl:                   [  OK  ]
Ну и что?
Код: plaintext
1.
2.
3.
4.
5.
6.
root@www:/usr/sbin>file /usr/sbin/apachectl
/usr/sbin/apachectl: symbolic link to ../../etc/rc.d/init.d/httpd
root@www:/usr/sbin>file -L /usr/sbin/apachectl
/usr/sbin/apachectl: Bourne shell script text executable
root@www:/usr/sbin>egrep -i -e "(vim|\<vi\>|\<ed\>|emacs)" /usr/sbin/apachectl || echo "NOT FOUND"
NOT FOUND
Причем тут vim?
Нельзя ли конкретный промер про "два пальца" или ссылку на него?
Потом, apachectl - это простой bash script. Тот, который у меня сейчас, всего 220 строк.
Его несложно изучить и при необходимости "заточить" под конкретную ситуацию.
А потом с чего Вы взяли, что root не доверяет "Васе"? Он, может быть, просто
боится непреднамеренных повреждений, которые можно сделать работая под root-ом.
Или же он не доверяет совсем другим людям, в присутствии которых "Вася" должен
будет остановить/запустить apache. Может быть root и "Вася" - это вообще один и тот же
человек, который уже успел удивиться, почему некоторые просители "чего-нибудь сделать
срочно, прямо сейчас" смотрят не на экран, а пытаются "фотографировать" его пальцы.
...
Рейтинг: 0 / 0
22.06.2009, 20:14
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36054641
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
avb1003Да, я уже успел полистать книгу про страшных Linux-хакеров. Там пугали возможностью
apachectl configtest. Как-то не испугало:
Код: plaintext
1.
2.
3.
vasia@www:~>sudo -u root /usr/sbin/apachectl configtest
Checking configuration sanity for httpd:                        [  OK  ]
Checking configuration sanity for httpd-perl:                   [  OK  ]
Ну и что?
Код: plaintext
1.
2.
3.
4.
5.
6.
root@www:/usr/sbin>file /usr/sbin/apachectl
/usr/sbin/apachectl: symbolic link to ../../etc/rc.d/init.d/httpd
root@www:/usr/sbin>file -L /usr/sbin/apachectl
/usr/sbin/apachectl: Bourne shell script text executable
root@www:/usr/sbin>egrep -i -e "(vim|\<vi\>|\<ed\>|emacs)" /usr/sbin/apachectl || echo "NOT FOUND"
NOT FOUND

ппц, детский сад, испугало/не испугало...

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
root# grep apachectl /etc/sudoers
oracle  ALL=(ALL)       NOPASSWD: /usr/sbin/apachectl
root# su - oracle
oracle$ cat > /tmp/test.sh
#!/bin/bash
echo test-test-test >> /etc/passwd
oracle$ chmod 755 /tmp/test.sh
oracle$ cat >>  /tmp/myhttpd.conf 
RewriteEngine On
RewriteMap test prg:/tmp/test.sh
oracle$ sudo /usr/sbin/apachectl  -f /tmp/myhttpd.conf 
$ tail -n1 /etc/passwd
test-test-test


avb1003Причем тут vim?
Нельзя ли конкретный промер про "два пальца" или ссылку на него?
vim тут при том, что из него можно запустить шел, и поэтом выдавать права на запуск vim через sudo давать нельзя - а вы по наивности если пользователю понадобится редактировать какой-нибудь конфиг дадите ему права через sudo:
Код: plaintext
1.
2.
3.
4.
5.
6.
[root]grep oracle /etc/sudoers
oracle  ALL=(ALL)       NOPASSWD: /usr/bin/vim
[root]# su - oracle
oracle$ sudo /usr/bin/vim
:!bash
root# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
...
Рейтинг: 0 / 0
22.06.2009, 21:20
| Ответить | Цитировать | Написать  
О жизни и вообще [root]
    #36054683
avb1003
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
avb1003
Участник
Андрей Панфилов,
Да, действительно, детский сад!
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
vasia@www:/tmp>cat /tmp/test.sh
#!/bin/bash
echo test-test-test >> /etc/passwd
vasia@www:/tmp> /tmp/test.sh
vasia@www:/tmp>cat //tmp/myhttpd.conf
RewriteEngine On
RewriteMap test prg:/tmp/test.sh
vasia@www:/tmp>sudo -u root /usr/sbin/apachectl -f /tmp/myhttpd.conf
Usage: /usr/sbin/apachectl {start|stop|restart|reload/graceful|update|status|configtest}
vasia@www:/tmp
Или Вы списали пример с книги или у Вас дырявый apachectl.
Андрей Панфилов...
vim тут при том, что из него можно запустить шел, и поэтом выдавать права на запуск vim через sudo давать нельзя - а вы по наивности если пользователю понадобится редактировать какой-нибудь конфиг дадите ему права через sudo:Это не правда. Я не давал пользователю права на vim через sudo и не предлагал этого делать.
Это, наверное, в той книге, где Вы прочитали про apachectl, где-то рядом написано про sudo vim.
В моей книге сразу же приведено "противоядие" против этой уязвимости. Но я не ставил своей задачей написать здесь о всем,
что знаю; тем более,о том, что написано в книгах, которые я прочитал или просмотрел.
...
Рейтинг: 0 / 0
22.06.2009, 22:15
| Ответить | Цитировать | Написать  
25 сообщений из 29, страница 1 из 2
  1  все
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / О жизни и вообще [root]
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&msg=36054683&tid=1485718]:
 0ms
get settings:
 12ms
get forum list:
 23ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 55ms
get topic data:
 14ms
get forum data:
 3ms
get page messages:
 77ms
get tp. blocked users:
 1ms
others: 260ms
total:  451ms
созд. / загр.: 451ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]