[lea-aide] setuid et setgid... et plus

[jerome.sequier [CHEZ] 9online.fr]

Bon, je reprends le cas concret dans un thread séparé...



Pour exécuter une commande avec les droits root sans donner de mdp  
j'avais proposé :



- dans un fichier "scanner-detect" dans un dossier user



#!/bin/bash

/usr/sbin/scsiadd -s



suivi de chmod +x

et de chown root:usergroup



Ça fonctionne...



De : Gab Aldien 
<aldian.gp [CHEZ] gmail.com>

> Je vais surement dire une bêtise, mais est-ce que sudo chmod +s  
/usr/sbin/scsiadd

> n'aurait pas été plus rapide tout en présentant des risques de sécurité 
similaires?



Eh bien, si je ne me trompe pas, ma solution permet seulement à  
l'utilisateur que j'ai choisi, et à qui je donne le fichier  
"scanner-detect" de lancer scsiadd alors que la solution que tu proposes  
le permet pour tous les utilisateurs de la machine.



... mais ...



Quelques essais supplémentaires sèment le doute dans mon petit esprit...



Si en tant que user je copie mon fichier "scanner-detect" dans un autre  
dossier, ce dernier prend les droits user:usergroup et donc ne devrait  
plus fonctionner.



Or, ce n'est pas le cas, "scanner-detect" fonctionne et me permet  
ensuite de faire mes acquisitions d'image.



alors j'ai vérifié que l'utilisateur user:usergroup ne pouvait pas  
lancer la commande "scsiadd"

... puis constaté qu'il pouvait par contre très bien lancer  
/usr/sbin/scsiadd -s avec le path complet.

... en fait scsiadd a les droits -rwsr-xr-x  root root



Alors je retourne à ma planche de travail...



- mon fichier "scanner-detect" aurait-il fonctionné avec une commande  
qui n'était pas setuid ?

- cette façon de procéder limite-t-elle l'emploi de la commande au seul  
utilisateur ayant "scanner-detect" dans son répertoire personnel ?



a+



--

Jerome Sequier

apprenti pingouin