Journal Tais toi et donnes moi l'id root

Posté par earxtacy le 12 mars 2003 à 22:01.

Étiquettes : aucune

mar.

2003

tiré de la liste secu de mandrake:
----------------
Problem Description:

The /usr/bin/shutdown command that comes with the usermode package can
be executed by local users to shutdown all running processes and drop
into a root shell. This command is not really needed to shutdown a
system, so it has been removed and all users are encouraged to upgrade.
Please note that the user must have local console access in order to
obtain a root shell in this fashion.
-------------------
hey ben on aura tout vu ^^

# Re: Tais toi et donnes moi l'id root

Posté par Boa Treize (site web personnel) le 12 mars 2003 à 23:13. Évalué à 3.

Qu'est ce que c'est que cette distro qui fout un shutdown accessible aux utilisateurs normaux ?

boa13@slackbox$ shutdown
bash: shutdown: command not found
boa13@slackbox$ /sbin/shutdown
shutdown: you must be root to do that!
- [^] # Re: Tais toi et donnes moi l'id root
  
  Posté par Moby-Dik le 12 mars 2003 à 23:46. Évalué à 2.
  
  C'est assez bizarre. Il y a un /sbin/shutdown, qui est un exécutable, et un /usr/bin/shutdown, qui est un lien symbolique vers consolehelper. Un man consolehelper dit, entre autres, la chose suivante :
  
  consolehelper is a tool that makes it easy for console users to run
  system programs, doing authentication via PAM (which can be set up to
  trust all console users or to ask for a password at the system adminis-
  trator's discretion). When possible, the authentication is done graph-
  ically; otherwise, it is done within the text console from which con-
  solehelper was started.
  
  It is intended to be completely transparent. This means that the user
  will never run the consolehelper program directly. Instead, programs
  like /sbin/shutdown are paired with a link from /usr/bin/shutdown to
  /usr/bin/consolehelper. Then when non-root users (specifically, users
  without /sbin in their path, or /sbin after /usr/bin) call the "shut-
  down" program, consolehelper will be invoked to authenticate the action
  and then invoke /sbin/shutdown. (consolehelper itself has no priv-
  iledges; it calls the userhelper(8) program do the real work.)
  
  Je ne vois pas l'intérêt de ce bidule.
  - [^] # Re: Tais toi et donnes moi l'id root
    
    Posté par Jean-Yves LENHOF (site web personnel) le 13 mars 2003 à 00:11. Évalué à 3.
    
    Il existe un programme dans le PATH de root sous /sbin/shutdown (qui verifie que tu es bien l'ID =0)
    
    Il y a un /usr/bin/shutdown qui est un lien vers consolehelper.
    
    Ainsi lorsque tu es root tu lances /sbin/shutdown..... donc pas de probleme tu arretes ta machine
    
    Lorsque tu es utilisateur tu appelles /usr/bin/shutdown..... mais en fait tu appelles consolehelper..... Mais consolehelper regarde avec quoi tu l'as appele (l'autre bout du lien), verifie au passage que le fichier est present dans /etc/security/console.apps/ et cherche une definition pam dans /etc/pam.d/..... l'authentification se fait donc suivant les modules pam present dans ce fichier shutdown (par defaut seul un utilisateur local ou alors root peut appeler cette commande, les autres authentifications sont rejetees) puis il execute la commande sous /sbin en tant que root.
    
    Voila en gros pour 0.02 d'après mon interpretation toute personnelle
    - [^] # Re: Tais toi et donnes moi l'id root
      
      Posté par Jean-Yves LENHOF (site web personnel) le 13 mars 2003 à 00:14. Évalué à 1.
      
      Pour pas qu'un utilisateur autre que root puisse arreter la machine tu mets en commentaire les 2 lignes suivantes dans ton fichier /etc/pam.d/shutdown....
      
      auth required /lib/security/pam_console.so
      auth required /lib/security/pam_stack.so service=system-auth
      - [^] # Re: Tais toi et donnes moi l'id root
        
        Posté par Fabien Penso (site web personnel, Mastodon) le 13 mars 2003 à 00:37. Évalué à 0.
        
        Ou tu changes /etc/shutdown.allow (à l'ancienne, mais t'es plus sûr que ça marche).
- [^] # Re: Tais toi et donnes moi l'id root
  
  Posté par tuiu pol le 13 mars 2003 à 10:05. Évalué à 1.
  
  A noter que ca existe aussi sous RedHat, ce n'est pas une spécificité de Mandrake (sur RH 7.1 en tout cas)
# Re: Tais toi et donnes moi l'id root

Posté par tuiu pol le 13 mars 2003 à 10:08. Évalué à 1.

Sinon, une question naive que je me pose : je suis un utilisateur lambda et j'utilises KDE : j'ai donc un moyen pour rebooter/arreter la machine.
Je suis un utilisateur lambda mais je ne suis pas sous X : theoriquement je ne peux pas rebooter/arreter la machine (les commandes doivent etre reservees au root).

Qu'est-ce qui fait que sous KDE je peux eteindre/rebooter la machine ??
- [^] # Re: Tais toi et donnes moi l'id root
  
  Posté par Slaanesh le 13 mars 2003 à 10:23. Évalué à 1.
  
  a priori tu utilises kdm pour rebooter/éteindre ta machine. kdm tourne en root.
- [^] # Re: Tais toi et donnes moi l'id root
  
  Posté par Boa Treize (site web personnel) le 13 mars 2003 à 11:49. Évalué à 0.
  
  Au fait, si ça t'intéresse de donner accès à certaines commandes root à des utilisateurs normaux, par exemple autoriser un ou deux utilisateurs à lancer shutdown à partir d'un terminal, renseigne-toi sur sudo. http://www.courtesan.com/sudo/
# Re: Tais toi et donnes moi l'id root

Posté par Jérôme FIX (site web personnel) le 13 mars 2003 à 12:37. Évalué à 1.

C'es toujours mieux d'autoriser un reboot propre (à la Mandrake ou Red Hat) sur une station de travail ou une machine de bureau plutot que voir les utilisateurs appuyer sur le bouton power pour éteindre leur machine. Evidemment sur un serveur c'est normal !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.