Je vous forward un post des débutants avec une question personnelle en sus
sur le sujet :
Mis a part la manip essayée ci-dessous, j'en ai réalisé une autre, toute
simple, mais qui me laisse perplexe :
La manip : Dans le home directory d'un utilisateur toto, en étant root, je
créé un petit script (nommé "essai") tt bete :
"ps -aux | grep "essai"
je lui met les droits 4744 ce qui me donne :
-rwsr--r-- 1 root root blablabla....
On es d'accord, "s" minuscule = suid et droit d'execution pour root.
sous le nom d'utilisateur : ./essai => Permission non accordé.
Cela veut dire que suid ne marche pas? ou alors qu'il faut mettre le droit
exécutable pour l'utilisateur et que, alors le scipt va s'executer avec
l'utilisateur effectif root? fort bien j'essaie :
je met les droits 4755 ce qui donne :
-rws-r-xr-x 1 root root blablabla....
ok sous l'utilisateur normal maintenant je relance ./essai, il se lance
bien, mais là... :
la sortie su ps-aux du script me dit qu'il a été lancé sous l'utilisateur
normal.
logique me direz vous.
Mais le suid dans tout ca? il fait quoi? il fou rien ce fainéant? lol
Si vous pouvez m'éclairer sur le sujet, je vous en serais gré.
Vincent
>
>En mettant "user" et non "nouser" dans fstab pour un périph donné cela le
>rend montable par n'importe quel utilisateurs.
>La config par défaut du fichier /bin/mount possede le bit suid positionné a
>1 par défaut.
>Jusqu'ici on es d'accord n'est ce pas? En tout cas c'est mon cas pour une
>8.0 installée en serveur (par les méthodes d'install mdk) et avec un niveau
>de sécurité élevé.
>
>Théoriquement, le suid permet a n'impore quel utilisateur de lancer une
>commands, par exemple mount dans notre cas, sous le compte du propriétaire
>de la commande, root dans ce cas précis. Dans ce cas l'utilisateur es dit
>"utilisateur réel" et root es dit "utilisateur effectif".
>Ok, jusqu'a présent pas trop de pb.
>
>La commande mount lorsque invoqué en ligne de commande et du style :
"$mount
>/dev/cdom" (1) va aller chercher ds fstab les infos supplémentaires pour
>monter le périph.
>Mais lorsque on l'invoque totalement en ligne du style : "$/bin/mount -t
>iso9660 ro,user /dev/cdrom /mnt/cdrom" (2) ligne de commande qui serai tout
>a fait valable sous root, elle ne s'éxecute pas sous un autre utilisateur,
>et ceci malgrés la présence su suid.
>
>a priori, la commande, que je qualifierai de "reduite" (1) va chercher ds
>fstab les infos alors que l'autre commande (2) n'y va pas.
>Alors ds ce cas pourquoi dans un cas le suid va permettre a un utilisateur
>réel de lancer la commande sous l'utilisateur effectif "root" et pas dans
>l'autre cas?
>
>Je pense que la se situera la réponse a ta question sur la sécurité su
>serveur.
>Vincent
>
>
>>Tu as absolument raison, le fait de rendre /sbin/mount suid permet à tous
>les
>>utilisateurs de l'utiliser, puisqu'ils "deviennent" root pendant
>l'exécution
>>de la commande.
>>
>>Je l'ai d'ailleurs essayé, et celà fonctionne.
>>
>>Je pensais que c'était par contre absolument déconseillé, car celà créait
>des
>>trous de sécurité dans le système, et que l'option "user" dans le fichier
>>fstab servait précisément à permettre à tout utilisateur non-root de
>>monter/démonter UNIQUEMENT les partitions indiquées avec ces options dans
>la
>>fstab.
>>
>>Qu'en pensez-vous?
>>
>> - Faut-il que mount et umount soient suid root pour que l'option "user"
>>fonctionne ?
>> - Cela pose-t-il des problèmes de sécurité sur un serveur ?
>>
>>Merci
>>
>>Le Jeudi 1 Novembre 2001 15:46, vous avez écrit :
>>> Bonjour,
>>> Le probleme vient peut etre du fait que mount n'est pas executé avec les
>>> droits de root ("suid root" autrement dit).
>>> Pour verifier:
>>>
>>> ls -l /bin/mount
>>>
>>> Voila le resultat de cette commande sur mon pc:
>>> -rwsr-xr-x 1 root root 57500 sep 9 01:04 /bin/mount*
>>> Le "s" en 4ème position indique que mount est suid root.
>>>
>>> S'il ne l'est pas sur ton pc, la commande (en tant que root) :
>>> chmod +s /bin/mount
>>>
>>> resoudra peut etre le problème.
>>> A +
>>> Laurent
>>>
>>> B.Telgeuse wrote:
>>> >Bernard,
>>> >
>>> >Merci pour le coup de main.
>>> >Malheureusement le problème est toujours là (le système refuse
>d'exécuter
>>> >mount sur /dev/cdrom ou dev/cdwriter ou dev/floppy sous le compte
>>> > utilisateur. Celà fonctionne très bien sous root, et les outils qui
ont
>>> > besoin de monter ces périphériques (XCDRoast, lecteur CD Audio) y
>>> > parviennent eux aussi fort bien, même s'ils sont lancés sous le compte
>>> > utilisateur.
>>> >
>>> >Le message est "Impossible de monter le périphérique. L'erreur reportée
>>> > est: mount: vous devez être l'utilisateur root pour utiliser la
>fonction
>>> > de montage."
>>> >
>>> >Ma fstab modifiée sur tes conseils est:
>>> >
>>> >/dev/hda6 / ext2 defaults 1 1
>>> >/dev/hdb2 /archive ext2 defaults 1 2
>>> >none /dev/pts devpts mode=0620 0 0
>>> >/dev/hda7 /home ext2 defaults 1 2
>>> >/dev/cdrom /mnt/cdrom iso9660 ro,user,noauto 0 0
>>> >/dev/cdwriter /mnt/cdwriter iso9660 user,noauto 0 0
>>> >/dev/hda1 /mnt/disk_c vfat
>>> >iocharset=iso8859-1,umask=0,ro,nosuid,auto,exec,nodev,codepage=850 0 0
>>> >/dev/hdb1 /mnt/disk_d vfat
>>> >iocharset=iso8859-1,umask=0,ro,nosuid,auto,exec,codepage=850,nodev 0 0
>>> >/dev/fd0 /mnt/floppy auto sync,user,noauto,nosuid,nodev,unhide 0 0
>>> >none /proc proc defaults 0 0
>>> >/dev/hda8 /tmp ext2 defaults 1 2
>>> >/dev/hda9 /usr ext2 defaults 1 2
>>> >/dev/hda5 swap swap defaults 0 0
>>> >
>>> >Tout se passe comme si l'option "user" était ignorée.
>>> >Une autre idée ?
>>> >
>>> >Le Mercredi 31 Octobre 2001 08:00, vous avez écrit :
>>> >>Mercredi 31 Octobre 2001 à 04h38, B.TELGEUSE a écrit :
>>> >>>Merci à tous deux pour votre aide. Hélas, la géante rouge est
toujours
>>> >>> en panne de mount, même en ayant intégré dans ma fstab deux lignes
>fort
>>> >>> similaires à celles décrites par Rosaire [ ... ]
>>> >>
>>> >>Bon! Sérions les problèmes: ton /etc/fstab
>>> >> fais le plus court possible pour mieux diagnos-
>>> >> tiquer l'origine de ton problème :
>>> >>
>>> >>1) tu te mets en "root" impérativement.
>>> >>
>>> >>2) tu édites (kedit par exemple) ton fichier /etc/fstab et
>>> >> tu y reprends le système classique normalisé pour cdrom :
>>> >> /dev/cdrom /mnt/cdrom iso9660 ro,user,noauto 0 0
>>> >> /dev/cdwriter /mnt/cdwriter iso9660 user,noauto 0 0
>>> >>
>>> >> |·····1····|····2·····|···3··|····4···|···· <=Champs
>>
>>----------------------------------------
>>Content-Type: text/plain; charset="iso-8859-1"; name="message.footer"
>>Content-Transfer-Encoding: 8bit
>>Content-Description:
>>----------------------------------------
>>
>>
>
>
>_________________________________________________________
>Do You Yahoo!?
>Get your free @yahoo.com address at http://mail.yahoo.com
>
>
>
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";
