Forum Linux.général Autoriser un user à éxécuter certains programmes de root

Posté par locke le 08 juin 2006 à 14:31.

Étiquettes : aucune

juin

2006

Bonjour,

J'aimerais autoriser des utilisateurs à lancer certains programmes qui sont exécutables uniquement par root, sans passer par sudo ou su.

Typiquement ces programmes sont dhclient, reboot, halt.

Merci à l'avance pour vos indications,

# SUI est ton amis

Posté par pthichat le 08 juin 2006 à 14:42. Évalué à 3.

Le bit SUID

"Quand un utilisateur exécute un programme, celui ci dispose des droits de l'utilisateur l'ayant exécuté. Dans certains cas, il peut être nécessaire à un programme de disposer de droits particuliers, droits que l'on ne désire pas donner aux utilisateurs en dehors de ce contexte.

C'est dans ce genre de situations qu'il est parfois nécessaire d'activer le bit SUID. En plus d'autoriser l'exécution du programme, cet indicateur spécifie au système que le programme doit fonctionner avec les droits du propriétaire du programme, et non ceux de l'utilisateur l'ayant appelé.
"

voili voilo
- [^] # Re: SUI est ton amis
  
  Posté par locke le 08 juin 2006 à 15:50. Évalué à 1.
  
  Merci si j'active le bit SUID quels sont concrêtement les risques que je prend à faire :
  
  1) chmod 4755 /sbin/dhclient
  2) chmod 4755 /sbin/reboot
  3) chmod 4755 /sbin/halt
  - [^] # Re: SUI est ton amis
    
    Posté par pthichat le 08 juin 2006 à 17:27. Évalué à 2.
    
    Le risque c'est s'il y a une faille dans un de ces binaires, la personne malveillante pourra devenir root .....
# un autre ami

Posté par TImaniac (site web personnel) le 08 juin 2006 à 15:01. Évalué à 0.

/etc/sudoers est ton ami : il te permet d'ajout des droits d'exécution en tant que root à certaines commandes.
- [^] # Re: un autre ami
  
  Posté par LaBienPensanceMaTuer le 08 juin 2006 à 15:11. Évalué à 3.
  
  sans passer par sudo ou su.
  
  Donc ouai, bit-suid ... man chmod !
  - [^] # Re: un autre ami
    
    Posté par TImaniac (site web personnel) le 08 juin 2006 à 16:23. Évalué à 3.
    
    oué enfin moi j'ai compris la question comme étant "sans que l'utilisateur est à taper sudo ou su, auquel cas ma réponse convient parfaitement. Après la question peut être compris de plusieurs manières : le programme doit il tourner sous le compte utilisateur ou sous le compte root au final ? parcque le chmod fera pas le même effet que le sudoers.
    - [^] # Re: un autre ami
      
      Posté par locke le 08 juin 2006 à 17:16. Évalué à 1.
      
      Exact je veux éviter d'avoir à passer en root pour faire certaines commandes répétitives du ressort de l'administrateur. Mais pas au détriment de la sécurité non plus.
      
      Je précise que c'est pour un poste de développement sous linux et pas pour un serveur.
# calife

Posté par Bruno Muller le 08 juin 2006 à 15:15. Évalué à 1.

heu,..

sans passer par sudo ou su.

calife : http://frmug.org/mutt/calife/
- [^] # Re: calife
  
  Posté par locke le 08 juin 2006 à 17:20. Évalué à 1.
  
  Quels sont les points forts de ce programme par rapport aux solutions "classiques" ?
  - [^] # Re: calife
    
    Posté par Bruno Muller le 09 juin 2006 à 11:48. Évalué à 2.
    
    Il suffit de suivre le lien pour le savoir :
    
    The most interesting features of calife are:
    
    * you keep your environment variables and shell aliases intact
    * it has start and end of session logging
    * you can have a list of all permitted logins for each calife user. That way, you can give a user newsmaster's rights without giving out the root password
    * calife can also be used to become users even if they have no home directory or even no shell. That's very practical if you want to become uucp or even bin
    * you can make Calife runs a specific system-wide script at the end of the session (to send a mail about what was done as root for example)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.