Ubuntu 8.04 var ve roother kullanıcının çalıştırabileceği bir bash betiği yazmak istiyorum .
Ben kendim sudo yapabilirim.
Bunu nasıl yaparım?
AÇIKLAMALAR : Bunu sudo ile yapmak istemiyorum, çünkü o zaman kullanıcılar parolalarını yazmak zorunda kalacaklar. Sadece senaryoyu root olarak çalıştırmasını istiyorum, belki setuid, dunno.
Yanıtlar:
Bu normal bir ikiliyse, çalıştırabilirsiniz.
# chmod u+s /path/to/binary
Ne yazık ki, komut dosyaları ayarlanamaz. (Evet, ama yok sayılır). Bunun nedeni, komut dosyasının ilk satırının işletim sistemine komut dosyasını hangi yorumlayıcıda çalıştıracağını söylemesidir. Örneğin:
#!/bin/bash
Sonuçta koşuyorsun
/bin/bash /path/to/script
Açıkçası, yorumlayıcının setuid olması gerekir, bu da tüm komut dosyalarının setuid olacağı anlamına gelir. Bu kötü olur.
Bunu sudo ile / etc / sudoers dosyanıza visudo çalıştırarak yapabilirsiniz.
ALL ALL=NOPASSWD: /path/to/script
Ve şimdi herhangi bir kullanıcı çalıştırabilir
$ sudo /path/to/script
Bu, komut dosyasını parolalarını yazmadan çalıştırmalarını sağlar.
Komutta sudo gerektirmeyen, komut dosyanızı çalıştıran küçük bir setli ikili dosya oluşturmayı gerektiren bir alternatif vardır, ancak her ek setuid ikili dosyası başka bir potansiyel güvenlik sorunu ekler.
ALLYalnızca bir sudoer'in şifre girmeden çalışabilmesi için terimi bir kullanıcı adıyla değiştirin.
Ben / etc / sudoers SONUNDA bu satırı eklemek gerekiyordu : ALL ALL = NOPASSWD: <filename>
Görünüşe göre, daha sonra %admin ALL=(ALL) ALLgeçersiz kılma yönetici kullanıcılar için bir şifre gerekli.
Komut dosyası iyi belirlenmiş, zararsız, izin verilen bir eylem gerçekleştirdiği ve herhangi bir parametre değeri betiğin hatalı davranmasına neden olamazsa, bir komut dosyasının kök olarak çalıştırılmasına izin veren bir güvenlik sorunu yoktur.
Ama bir gotcha var ...
Komut ve dosya adlarında her zaman tam yolları kullanın. Eğer böyle bir şey yazarsan echo Hello world!içinde myrootscript, birisi bir yazabiliriz ~/bin/echo scriptve myrootscriptbunun ne varsa kök olarak yürütülür.
/bin/echo "Hoping this will keep you safe" :-)
Varsayılan olarak, wheelgrubun üyelerinin sudoherhangi bir komut için olarak izin verilir root. Muhtemelen sudobugüne kadar böyle kullanıyorsunuz .
Başka bir kullanıcıya izin vermek için bir sudoerskural oluşturmanız gerekir . Örneğin:
mickey.mouse ALL = (root) NOPASSWD: /usr/local/bin/test.sh
Kullanıcı izin verecek mickey.mousekomutu çalıştırmak için /usr/local/bin/test.sholduğu gibi rootek bir parola istemi gerektirmeden.
Daha fazla bilgi için bu belgeyi okumalısınız .
chmod +s <filename>Suid bitini görmek için kullanın . Bu, dosya yürütüldüğünde, dosyanın sahibinin izinleriyle çalıştığı anlamına gelir (bu nedenle, dosyayı bu şekilde çalışmasını sağlamak için kök dizinine ayarlayın).
Ancak, bu bir bash betikleri gibi bir şeyle ÇOK tehlikeli olabilir, çünkü bir kullanıcı bunu değiştirmenin bir yolunu bulur, kolayca bir kök kabuk kazanabilir. Kök dışında kimse tarafından yazılamayacağından emin olun.
Linux, betiklere setuid yapmanıza izin vermez, bunu yapmak için bir program olarak derlemeniz gerekir. Bunun yerine, sudoers dosyasını (/ etc / sudoers) kullanabilir ve buna benzer bir satır ekleyebilirsiniz.
<username> ALL = NOPASSWD: /path/to/script
Başka bir alternatif: bu komut dosyasının etrafında küçük bir setuid C sarıcı yapabilirsiniz.
Bir çeşit kendi alt kümeniz gibi çoklu yetenekler sudo.