On Tue, Apr 19, 2005 at 09:27:26AM +0200, Daniel Cordey wrote:
> On Monday 18 April 2005 19:23, F�lix Hauri wrote:
>
> > # find /home /var -uid 501 -exec chown -h 1000 {} \;
> >
> > N.B.: utiliser la r�cursivit� avec une commande comme chown n'est pas une
> > habitude � prendre...
>
> # find / -uid 501 -exec chown -h 1000 {} \;
>
> N'offre pas plus de securite que (ou alors je suis vraiment endormi ce
> matin :-)) :
Bonjour,
J'esp�re que tu as bien dormi! ;-)
Je parlais d'habitude � prendre,
Si tu tapes ``find / ...'' tu sais ce que tu fais,
si tu tapes ``chown -R toto /...'' et qu'� ce moment ton
fils pr�f�r� viens te faire un bisou (gentil) et que pour grimper
sur tes genoux, il met sa main malencontreusement sur la touche ``return'',
tu es mal.
1. envoyer baigner ton fils pr�f�r� :-(
2. taper CTRL-C (fort) sur ton clavier.
3. annalyser tes pulsations cardiaques...
4. entreprendre d'�valuer les d�gats.
5. faire des excuses � ton fils...
6. passer � confesse.
On Tue, Apr 19, 2005 at 11:47:31AM +0200, Daniel Cordey wrote:
> ...
> Oui, mais comme j'ai tendance a ne pas avoir de fichiers "etrangers" dans ma
> structure 'home'... :-)
>
On Tue, Apr 19, 2005 at 10:52:03AM +0200, Marc SCHAEFER wrote:
> On Tue, Apr 19, 2005 at 09:41:42AM +0200, Gr�goire M�tral wrote:
> > l'occurrence, on rend toto propri�taire de tous les documents, y compris
> > ceux qu'il n'a pas forc�ment cr��s... Bref, on �crase des infos, alors
>
> Et y compris la *destination* des liens symboliques avec certaines
> impl�mentations de chown.
Encore une fois, je parlais d'habitude, l� cela rejoint une notion de s�curit�,
Il est possible pour un utilisateur local d'�lever ses privil�ges ou d'acc�der
� des fichier r�serv�s en pr�parant des liens, planqu�s dans des
sous-r�pertoires,
puis en demandant � l'administrateur (qui a pris des mauvaises habitudes;)
de r�-obtenir les acc�s � ses fichier. (ce type d'attaque peut �tre pr�par�es p.
ex en pr�vision d'une mise � jour majeure du syst�me.)
Et pour finir,
On Tue, Apr 19, 2005 at 11:47:31AM +0200, Daniel Cordey wrote:
> ...
> A part ca, le veritable danger ne vient pas d'une faute de frappe en tapant
> '/' au lieu de '/home/toto', mais plutot de l'utilisation lors de
> l'utilisation de variables dans un programme bash. Par exemple :
>
> nrwdir=/home/toto
> ...
On s'�carte du probl�me initial qui �tait la ligne de commande, mais...
Avant un truc comme
cd $newdir &&
find . ...
tu peux faire:
[ "$newdir" ] || exit 1
ou mieux:
die() {
echo >&2 "Error: $@"
}
nrwdir=/home/toto
...
[ "$newdir" ] || die "La variable 'newdir' est vide"
cd $newdir &&
find . ...
voire
[ "$newdir" ] &&
cd $newdir &&
find . ...
...
De plus avant de lancer un script complexe en root:
... find . -name... -exec echo chown toto:hisgroup {} \;
Tu peux mettre un ``echo'' pour afficher l'action plut�t que de l'effectuer
au premier lancement d'un script potentiellement bugg�.
C'est comme tu veux, tu choise, mais si tu fais des c... en scriptant du
shell en ``root'', tu ne peux t'en prendre qu'� toi.
Il est l'heure du caf�...
Bonne journ�e!
--
F�lix Hauri - <[EMAIL PROTECTED]> - http://www.f-hauri.ch
_______________________________________________
gull mailing list
[email protected]
http://lists.alphanet.ch/mailman/listinfo/gull
