Ratti
Ratti:
ich möchte auf meinem apache einige cgi-scripte verwenden, die tief ins System eingreifen und daher root-Rechte benötigen.
cgi-scripte? Was für Scripte verwendest Du denn da? Zu jedem Script gehört IMHO ein Interpreter. CGI-Script bedeutet IMHO einfach nur, dass es ein Script ist, welches eine bestimmte Schnittstelle nutzt.
Bernd Brodesser:
man sudo man sudoers man su1
Na, wie geschrieben: Das langt nicht... Siehe unten.
Jein. Das langt fast. Wenn Du z.B. ein Perl-Script nutzt, dann kannst Du einen Perl-Wrapper nutzen. Da gibt es z.B. ein suidperl. Dieses suidperl hast setuid root und läuft daher als root-User. Und es checkt, ob das Script auch ein solches suid-Flag hat. Somit kannst Du Dir einen einfachen Wrapper schreiben, egal was Du verwendest.
Die cgis, die ich installieren will, sind für die Rechneradministration gedacht, enthalten komplette Webmailsystem usw...
Wer hat sich diese beknackte Beschränkung der Skripte ausgedacht? Das waren Leute, die Ahnung von Security haben.
Für normale Kommandozeile könnte ich ja noch ein kurzes C- Gerüst davor hängen, dann wäre es ein Binary, das einen Shell- Befehl absetzt. Aber für ein cgi kommt ja die ganze Ausgabeumleitung dazu. Außerdem verweigert das cgi sowieso den Start, weil es überprüft, ob es geSuid-ed wurde....
Gibt es eine Möglichkeit, die Beschränkung zu umgehen?
Das heisst, ja, daß bis auf webmin, das einen eigenen Webserver verwendet, der als root läuft, keines der gängigen webbasierenden Verwaltungssysteme auf einem Suse-System läuft? Autsch. Wieso denn das? Siehe oben!
Ich nutze z.B. open-webmail. Dies sind Perl-scripte, die tatsächlich mittels suidperl zu Ihren root-Rechten kommen. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53