On Wed, 15 Oct 2014 13:00:07 +0200
Joerg Thuemmler
Am 15.10.2014 11:48, schrieb Stephan von Krawczynski:
On Wed, 15 Oct 2014 10:05:31 +0200 David Haller
wrote: Oh, der Herr Krawallczynski taucht mal wieder auf ...
Am Mon, 13 Oct 2014, Stephan von Krawczynski schrieb:
vielleicht erinnert sich noch jemand daran dass es frueher ein suidperl Binary gab das man in solchen perl-Scripts als Shell eingetragen hat. Bei 13.1 gibts das ja nicht mehr. Wie bekommt man hier nun ein Script mit den richtigen UID/GID zum Laufen? "chmod +s" allein reicht scheinbar nicht...
Genau so wie jedes andere Programm auch (ohne das SUID-Bit zu setzen). RTFM.
-dnh
Oh, Herr Haller aeussert sich wie immer destruktiv. Man kann von Kindern einfach nichts anderes erwarten... Redet wie meist ueber Dinge die er nicht probiert hat.
Hi,
naja, rtfm ist nicht ganz unberechtigt. Aus guten Gründen wird das setuid-bit bei scripts grundsätzlich ignoriert. Das ist schon immer (?) so. Gehört einfach zum Linux-Grundwissen. Wenn es nicht ignoriert würde, hieße das quasi, den jeweiligen Interpreter per script in einen setuid-Modus versetzen zu können... das vereinfacht vieles ;-)
Letztlich war das suidperl-Binary wohl noch was Schlimmeres: verfütterst Du dem ein böses perl-Script, läuft es dann halt als root. Das kannst Du leicht selbst bauen, indem Du /usr/bin/perl setuid machst. Oder eine Kopie davon, deren höchstgeheimen Namen und Ort nur Du kennst. _Das_willst_Du_nicht_!_
Insoweit ist es nur logisch das David auf die - wenigen und für alle Programme gleichen - Möglichkeiten verweist, so etwas ohne diese "Backdoors" zu bewerkstelligen.
An Deiner Stelle würde ich mal über /etc/sudoers (rtfm) nachdenken, wenn es unbedingt root sein muss, ich entsinne mich auch mal, was von einem Perl-Compiler gehört zu haben, der erzeugt dann vielleicht ausführbaren Code, der setuid laufen kann, ob das aber sicher ist?
Ich würde eher versuchen, keine root-Rechte zu brauchen und in den unvermeidlichen Fällen authentifiziere ich mich halt.
cu jth
Das Problem ist eben nicht so einfach wie der gute Herr Haller denkt. Im speziellen Fall geht es um ein Perl-Skript in einer QMail-Konfiguration. Dieses _muss_ als root laufen, wird aber aufgrund der wirren QMail Systematik als buchstaeblich "jeder User" gestartet - auch als welche die in der lokalen passwd gar nicht vorkommen. Damit faellt eine Konstruktion mit sudo flach. Wer das sudo Man gelesen hat denkt dass das mit targetpw (bzw ohne) ginge. Fakt ist dass das aber nicht geht. Damit geht sudo in so einer Konfiguration eben nicht und damit war die fruehere Idee eines suidperl nicht so abwegig. Laut der (ziemlich unstrukturierten) Perl Doc soll ein neuerer Perl-Interpreter in der Lage sein ein suid-Skript wirklich als suid auszufuehren. Geht aber (wenigstens bei 13.1) auch nicht. Selbstverstaendlich faellt jede interaktive Idee (authentifizieren ...) auch flach. Was bleibt? -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org