помню вроде бы для этого есть бит stiky, поставил его
> chmod u+s script.sh
> ll
rwsr-xr-x .... script.sh
> _
но не помогает - скрипт доступа не получает;
подскажите, может кто знает, копать некогда
спасибо
- andr.ru
suid биты не работают на скриптах, ибо нефиг.
> подскажите, может кто знает, копать некогда
Наверное самым прямым тут будет использовать sudo.
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.kiev.ua
>как настроить скрипт для запуска его с правами рута?
через sudo|su + интерпретатор + скрипт
>надо дать юзеру право выполнить одну команду.
если только одну команду - sudo
>помню вроде бы для этого есть бит stiky,
suid bit
> поставил его
>> chmod u+s script.sh
>> ll
> rwsr-xr-x .... script.sh
>> _
>
>но не помогает - скрипт доступа не получает;
все правильно - суидные скрипты "имелиcь ввиду".
>подскажите, может кто знает, копать некогда
все равно придется тратить время на формулирование задачи :)
--
A1ex.
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
MD> Наверное самым прямым тут будет использовать sudo.
мне нужно чтобы юзер мог прихлопнуть один конкретный процесс,
который выполняется под рутом. Что мне ему, давать su на целый kill ?
ладно, подумаю, спасибо за подсказку
- andr
ну и черт с ними, щас на Сях по-быстрому напишу.
по-моему - глупость. лишний перетрах.
- andr
А почему ему нельзя в sudoers конкретно этот процесс и прописать? Причем
вместе с килом, т.е. всю командную строку и вбахать. У меня так юзера сидюки
и самбу монтируют, а все остальное - фигу. И только его бы он бы и смог бы
выполнить бы. А на все остальное ему бы тоже дулю показали. Вроде бы дыры
никакой не получается...
Пока.
Тимофей Андреевский
да некогда мне читать-изучать конфиги - работы валом;
я не понимаю, где дыра, если к скрипту стики-бит прилепить.
я сделал просто
int main ()
{
execl ( "/path/to/myscript", "myscript", NULL ) ;
}
а читать ман суду надо пол-дня убить; как-нибудь потом;
- andr.ru
Знаю я одного такого "пейсателя", он тоже любитель кучи суидных прог.
Когда я ему в подобном случае вместо /path/to/myscript подсунул
/usr/local/bin/bash (ну оказалась свободной для записи директория, что
ж тут поделать), он все-равно не поверил что так делать это только
лишние дырки в системе сверлить.
Cmnd_Alias MOUNTSU=/sbin/mount_smbfs *,/sbin/mount /cdrom,/sbin/umount
/cdrom,!/sbin/umount /,!/sbin/umount -a
Cmnd_Alias MPDREG=/usr/bin/killall mpd,/usr/local/sbin/mpd -bk
petia,vasia ALL=MOUNTSU,MPDREG
Это разрешает Пете и Васе кое-че монтировать/отмонтировать и ходить в инет.
Я думаю, в свете предыдущей дискуссии может заинтересовать первая команда
второй переменной.
Успехофф.
Тимофей Андреевский.
Monday May 30 2005 18:37, Andrew Wingorodov -- Alexey Milevsky:
AM>> все правильно - суидные скрипты "имелиcь ввиду".
AW> ну и черт с ними, щас на Сях по-быстрому напишу.
AW> по-моему - глупость. лишний перетрах.
понадобится этому юзеру что-то ещё дать, опять будешь на сях писать?
порекомендовали же отличный способ - sudo, так ведь надо велосипед строить.
коту делать нефиг - он яйца лижет (с) народная мудрость
With best regards,
Evgeny
Кстати, раз заговорили, давно хотел спросить.
Как устроен sudoedit, что из вызванного им редактора вызываешь
/bin/sh, к примеру - а он не рутовый, а того пользователя, который
sudoedit вызывал. Это очень правильно и хорошо, но как это сделано?
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
>> порекомендовали же отличный способ - sudo,
VS> Кстати, раз заговорили, давно хотел спросить.
VS> Как устроен sudoedit, что из вызванного им редактора вызываешь
VS> /bin/sh, к примеру - а он не рутовый, а того пользователя, который
VS> sudoedit вызывал. Это очень правильно и хорошо, но как это сделано?
The getuid() function returns the real user ID of the calling process.
The geteuid() function returns the effective user ID of the calling process.
Видимо, sudoedit запускается с повышенным EUID, но с исходным RUID
(так запускаются все suid-бинари), запоминает RUID и между
fork() и exec() делает setuid().
Eugene
--
Choose your future
так это про пользователей sudo народная муДость!
весь мой велосипед состоит из одной строчки
::exec ( "/bin/sh", "sh", "/path_to_script.sh" ) ;
я тебе дольше этот ответ писал. суду - это для тех, кто не понял! :-)
- andr.ru
--
Константин Стефанов
>> Видимо, sudoedit запускается с повышенным EUID, но с исходным RUID
>> (так запускаются все suid-бинари), запоминает RUID и между
>> fork() и exec() делает setuid().
CS> А это не факт. Hапример, /bin/sh имеет ключик -p. Если его вызвать без
CS> этого ключа, то он сам при старте сбросит EUID и EGID в значения из real
CS> UIG и GID.
С одной стороны, это хорошо, с другой стороны - засада. Я в свое время
из-за незнания этой фичи ;-) убил довольно много времени, так и не понял
в чем проблема и добавил setuid() перед вызовом /bin/sh, благо условия
позволяли.
Eugene
--
Как ни отмывай задний проход, он не станет глазом. (Дхарма)
VS> Кстати, раз заговорили, давно хотел спросить.
VS> Как устроен sudoedit, что из вызванного им редактора вызываешь
VS> /bin/sh, к примеру - а он не рутовый, а того пользователя, который
VS> sudoedit вызывал. Это очень правильно и хорошо, но как это сделано?
Я дико извеняюсь, но "man sudo" о ключике -e. Там алгоритм расписан :)
Слона-то я и не приметил. Выходит, всё просто и остроумно - редактируются
временные копии файлов, а редактор так и работает всё время от
простого пользователя.
=========The end of the citation================
Бардак? Или генеральная линия сменилась?
Судя по документации все-таки второе и похоже достаточно давно.
With best regards, Dmitry Miloserdov. E-mail: dmi...@bis.ru
03 Jun 05 10:39, you wrote to Evgeny Chevtaev:
AW> так это про пользователей sudo народная муДость!
AW> весь мой велосипед состоит из одной строчки
AW>
AW> ::exec ( "/bin/sh", "sh", "/path_to_script.sh" ) ;
AW>
AW> я тебе дольше этот ответ писал. суду - это для тех, кто не понял!
AW> :-)
Ты эту строку в резюме включи. Чтобы тебя случайно на работу в серьёзное место
не взяли.
Alex
а в чём проблемы то? работает. давайте не будем вы@бываться и оценивать
уровень соседа. на моем софте проходило голосование евровидения-2005
между прочим и отработало все замечательно. в серъёзном месте я уже
давно работаю, а не работаю там, где такие вот как ты умники-оценщики
оценивают. один вот тоже так оценивал-оценивал, шерсть на носу, взяли его
закинули на дерево, больше не оценивает.
мне маны читать некогда, я программист.
- andr.ru
AW> а в чём проблемы то? работает. давайте не будем вы@бываться и оценивать
AW> уровень соседа. на моем софте проходило голосование евровидения-2005
AW> между прочим и отработало все замечательно. в серъёзном месте я уже
AW> давно работаю, а не работаю там, где такие вот как ты умники-оценщики
AW> оценивают. один вот тоже так оценивал-оценивал, шерсть на носу, взяли его
AW> закинули на дерево, больше не оценивает.
Давно таких пальцатых не было в эхе. Давай еще чего нибудь расскажи нам,
повеселиться охота.
AW> мне маны читать некогда, я программист.
ROTFL! Ф цытаты!!!
--
Totus tuus, Glebius.
GLEBIUS-RIPN GLEB-RIPE
AW>> мне маны читать некогда, я программист.
GS> ROTFL! Ф цытаты!!!
Однозначно (c)
Eugene
--
Тестоголовые кислое свое брожение приняли за душу, распарывание чрев
своих - за историю, средства, оттягивающие разложение - за цивилизацию...
Пиписькомерянье в полный рост. Браво!
> мне маны читать некогда, я программист.
В цитатник однозначно!
To moderator: сори, больше не буду :)
Tue, 07 Jun 2005 at 04:08 GMT Andrew Wingorodov wrote:
AW> мне маны читать некогда, я программист.
Афтор, жжешь! Пеши еще! (с)
--
WBR, Alexander B. Gotlib,
mailto:al...@cca.usart.ru / ICQ# 13043204.
-|- -|-
07 Jun 05 11:08, you wrote to me:
AW> Alex Semenyaka <Alex.Se...@p640.f640.n461.z2.fidonet.org> wrote:
AS>> Ты эту строку в резюме включи. Чтобы тебя случайно на работу в
AS>> серьёзное место не взяли.
AW> а в чём проблемы то? работает.
Кто б сомневался.
AW> давайте не будем вы@бываться и оценивать уровень соседа. на моем
AW> софте проходило голосование евровидения-2005 между прочим и
AW> отработало все замечательно.
При чём тут твой софт? То, что ты предложил - криво и дыряво. Возможно, ты
гениальный программист, и Господь Бог нервно курит в углу, когда ты
программируешь. Hо сисадмин из тебя пока что никакой. Какое слово неясно?
AW> в серъёзном месте я уже давно работаю, а не работаю там, где такие
AW> вот как ты умники-оценщики оценивают. один вот тоже так
AW> оценивал-оценивал, шерсть на носу, взяли его закинули на дерево,
AW> больше не оценивает.
О. Да тут полный набор.
AW> мне маны читать некогда, я программист.
Это тоже в резюме впиши.
Alex
07 Jun 05 14:26, you wrote to Gleb Smirnoff:
AW>>> мне маны читать некогда, я программист.
GS>> ROTFL! Ф цытаты!!!
EG> Однозначно (c)
Hам думать некогда, нам работать надо (c) одного человека, программиста БД, с
которым долго работал.
Sergey
07 Jun 05 11:08, Andrew Wingorodov wrote to Alex Semenyaka:
[skip]
AW> как ты умники-оценщики оценивают. один вот тоже так оценивал-оценивал,
AW> шерсть на носу, взяли его закинули на дерево, больше не оценивает.
AW> мне маны читать некогда, я программист.
это 5+, неси зачетку! :)))))))
With best wishes,
Alexandr.
>> порекомендовали же отличный способ - sudo,
VS> Кстати, раз заговорили, давно хотел спросить.
VS> Как устроен sudoedit, что из вызванного им редактора вызываешь
VS> /bin/sh, к примеру - а он не рутовый, а того пользователя, который
VS> sudoedit вызывал. Это очень правильно и хорошо, но как это сделано?
so'шка которая LD_PRELOAD'ом подгружается в редактор.
Метод не стопроцентный.
-netch-
>>> порекомендовали же отличный способ - sudo,
VS>> Кстати, раз заговорили, давно хотел спросить. Как устроен sudoedit,
VS>> что из вызванного им редактора вызываешь /bin/sh, к примеру - а он не
VS>> рутовый, а того пользователя, который sudoedit вызывал. Это очень
VS>> правильно и хорошо, но как это сделано?
VN> so'шка которая LD_PRELOAD'ом подгружается в редактор.
VN> Метод не стопроцентный.
Мне кажется, что пpосто pедактоp не pутом вызывается.
Hа такие мысли меня навела медитация на стpочку
/var/tmp/fstab.nPb4uM3d: unmodified: line 1
после вызова sudoedit /etc/fstab
Artem
>>>> порекомендовали же отличный способ - sudo,
VS>>> Кстати, раз заговорили, давно хотел спросить. Как устроен sudoedit,
VS>>> что из вызванного им редактора вызываешь /bin/sh, к примеру - а он не
VS>>> рутовый, а того пользователя, который sudoedit вызывал. Это очень
VS>>> правильно и хорошо, но как это сделано?
VN>> so'шка которая LD_PRELOAD'ом подгружается в редактор.
VN>> Метод не стопроцентный.
AI> Мне кажется, что пpосто pедактоp не pутом вызывается.
AI> Hа такие мысли меня навела медитация на стpочку
AI> /var/tmp/fstab.nPb4uM3d: unmodified: line 1
AI> после вызова sudoedit /etc/fstab
Таки да.
-netch-
Неа. Оказывается, всё проще.