Script als User mit mit root-rechten ausführen

[krispin]

wie es die überschrift schon sagt:

ich will, dass ein User ein script ausführt, das script dann aber root-rechte bekommt. - Ich habe heute irgendwie nen Linux-Bloc in meiner Birne...


MfG
Krispin

[dodolin]

Wenn es ein Shell-Skript ist, kannst du das vergessen.
http://www.dcoul.de/faq/html/2.html#2.suidshellskript

[krispin]

hmm, naja, vielleicht kannste mir ja helfen, das problem zu beheben:

ich will den Apache2 nicht so compilieren, dass der auch als root ausgefphrt werden kann,

jedoch will ich darüber ein Web-Config-Tool basteln.

Dieser muss jedoch zugriff auf diverse Files haben... also sprich root-rechte.


Oder ist das evt. mit PHP was zu machen? jedoch aus mit CGI-Interpreter..?

[dodolin]

Ganz ehrlich: Wäre ich an deiner Stelle und hätte so wenig Ahnung, ich würde die Finger davon lassen. Was du vorhast ist extrem gefährlich und sollte, wenn überhaupt, höchsten von Leuten gemacht werden, die wissen, was sie tun. Ok, wenn du aller Warnungen zum Trotz weitermachen willst, dein Stichwort heißt sudo.

[krispin]

also ich sehe da nur eine sicherheits lücke:

dass ich ein Programm installiere, womit man keine SU-Password brauche - ist mir wohl im klaren

da es aber eine Sicherheitlücke ist, den Rechner überhaupt zu betreiben, ist es denke ich auch nicht weiter tragisch...

aber trotzdem : danke

MfG
Krispin

[dodolin]

also ich sehe da nur eine sicherheits lücke:

dass ich ein Programm installiere, womit man keine SU-Password brauche - ist mir wohl im klaren

Ich sehe da noch eine viel größere Sicherheitslücke:
Die Rechte des Apachen-User werden erweitert. Ja, sie werden sogar auf root-Rechte erweitert. Auf Apache kann jeder Depp zugreifen. Ob das wirklich gut ist...? Aber wie gesagt, ist ja deine Kiste...

[krispin]

halt stop...

ich hatte garnicht vor, den apachen das script direkt ausführen zu lassen,

sondern über noch ein weiteres, wodruff der apache weder schreibt noch lese rechte hat, nur ausführ rechte.

Sollte dann die Möglickeiten schon wieder um einiges eingrenzen, oder?

[dodolin]

ich hatte garnicht vor, den apachen das script direkt ausführen zu lassen,
sondern über noch ein weiteres, wodruff der apache weder schreibt noch lese rechte hat, nur ausführ rechte.
Sollte dann die Möglickeiten schon wieder um einiges eingrenzen, oder?

Das kommt aufs Gleiche raus.

[majortermi]

Schreib die zu erledigenden Aufgaben in eine Queue (kannst du z.B. mit einer SQL-Datenbank implementieren) und lasse sie dann von einem Cronjob, der mit den entsprechenden Rechten läuft abarbeiten. Aber achte in diesem Fall ganz besonders darauf, dass es keine Möglichkeiten zur Code-Injection, SQL-Injection und auch keine Möglichkeit, durch die Verwendung von relativen Pfaden mit ".." beliebige Dateien zu beschreiben, gibt.

[krispin]

ich hatte eigendlich nicht vor, Confixx nach zu proggen....

[funnydingo]

Tja,

ein Script zu proggen, mit dem man beliebige Dateien ändern kann, ist halt nicht einfach. Aber die o.g. Idee ist schon nicht schlecht. Alles ändere ist wirklich ZU GEFÃ?HRLICH. Eine weitere Möglichkeit, die mir persönlich nicht gefällt aber von einem Freund von mir so umgesetzt wurde, wäre, die Rechte und Gruppen der Dateien und Verzeichnisse soweit anzupassen, das der Apache drauf lesen/schreiben kann. Aber wie gesagt, ich würde so ein Script auch über den SQL-Ansatz machen.

[krispin]

Hmm, irgendwie scheine ich mich wohl schlecht ausgedrückt zu haben,

natürlich soll dann nicht alles geändert werden damit können. Schon nur bestimmte Dateien. Auf die Idee mit den verschiedenen Nutzerrechten bin ich auch schon gekommen. Aber aus irgendeine Grund habe ich das wieder "verworfen"..

[krispin]

So, ich habe nun nochmal ne Idee "ausgeheckt". Da ich es irgendwie als Resourcen-Verschwendung ansehe, wenn immer ein Script durchrattert, und dass soll ja nach möglichkeit jede Miunute oder so sein, dass ich mit dem Apache-Script jediglich EINEN Cron-Tab ändern kann, der dann anstatt garnich ,jede Minute ausgefüht werden soll. Ist das Cron-Script fertig, soll es wieder automatisch dn Cron-Tab ändern.

Das problem, man muss jedes mal Cron neustarten, bzw. reloaden, oder?

MfG
Krispin

[captaincrunch]

Nein, Ã?nderungen an den Crontabs werden dynamisch übernommen.

[krispin]

hmm, also wäre das dann die Lösung? :)
Aber wenn ich in dem Cron-Tab voher "zu keiner Zeit" ausführen drin stand, woher weiss dann Cron, dass es nun jede Minute gemacht werden soll.
Ließt dann Cron die Dateien jede Milli-Sekundee aus, oder wie?

Also, wie Cron arbeitet würde ich ja doch schonmal gerne Detailiert wissen.

MfG
Krispin

[dodolin]

Ließt dann Cron die Dateien jede Milli-Sekundee aus, oder wie?

Jede Sekunde.

Also, wie Cron arbeitet würde ich ja doch schonmal gerne Detailiert wissen.

Code: Select all

apropos cron

man Google.

[krispin]

Jede Sekunden??

holla.... das erklärt dann wohl auch, warum dauernd Linux den RAM vollpapt...

man google - Es wurde keine Eintrag "google" gefunden.

[dodolin]

Jede Sekunden??

holla.... das erklärt dann wohl auch, warum dauernd Linux den RAM vollpapt...

Nein, aber das erklärt stattdessen unsere FAQ, IIRC.

man google - Es wurde keine Eintrag "google" gefunden.

Na, du bist ja mal ein Scherzkeks...

Damit wollte ich dir sagen, du sollst mal die Suchmaschine anschmeißen, weil es dazu wohl mehr als genug Grundlagenliteratur im Netz geben wird, meinst du nicht?!

[krispin]

ach ne... da wäre ich nun nicht drauf gekommen!
Ich muss nur gestehen, dass ich momentan weder Zeit und Lust habe, bei Guuugel herum so suchen, wie Cron funzt. ;)
MfG
Krispin

[dodolin]

Ich muss nur gestehen, dass ich momentan weder Zeit und Lust habe, bei Guuugel herum so suchen, wie Cron funzt.

Nun, da kannst'e mich angrinsen wie du willst, aber dann muss ich dir gestehen, dass ich unter diesen Umständen auch "weder Zeit" noch "Lust habe", dir zu erklären, "wie Cron funzt". ;)

[krispin]

wir labern da schon wieder aneinander vorbei, habe ich gesagt, dass du es machen sollst? Oder ob jemanden einen <a href="http://la.de"> LINK</a> kennt, wo es gut erklärt wird.

Aber nun gut, lassen wir es nun, da wir ja wohl noc hetwas länger mit ein ander Auskommen müssen!

Ps: Die Feindschaft zwischen Saddam und Bush soll auch auf so einem Forum für Gov's bei einer Disskusion entstanden sein :D

MfG
Krispin

[captaincrunch]

Wenn du selbst einmal kurz http://www.google.de in deinen Browser eingegeben hättest, und einfach mal "crond" in das entsprechende Feld eingegeben hättest, wären ein paar der ersten Treffer

http://www.linux-ag.de/linux/LHB/node157.html und http://www.die.net/doc/linux/man/man8/crond.8.html gewesen. Somit hättest du die Antwort auf die Frage auch schon lange ohne "Vorkauen" gehabt.

Wenn du hingegen ganz genau wissen möchtest, wie das Teil funktioniert, kann ich dir die Sourcen ( http://www.ovmj.org/GNUnet/doxygen/html ... ource.html ) nur sehr ans Herz legen, die eigentlich recht gut dokumentiert sind ...

[krispin]

lol, dat ist der Complette CronD?
Hätte ich mir nun aber schon ein 'bisschen' komplexer vorgestellt.

Aber danke!

MfG
Krispin

[captaincrunch]

Nein, ist er nicht, sondern nur das File, auf das es bei deiner Frage ankam.