[Admin-ml] Un script shell avec sudo...

[Proniewski Patrick]

On 20 nov. 07, at 09:41, Piel Jayce wrote:

>>> Pour un script qui doit faire des choses en tant que root, ce  
>>> n'est pas seulement la solution la plus simple, c'est surtout la  
>>> plus logique...
>>
>> mais pas forcément la plus sûre.
>
> Plus sûre que d'ajouter une commande au sudoers, et largement plus  
> sûre que le Setuid BIT..

Pour le setuid c'est évident, mais pour la commande dans sudoers je  
demande à voir.


>>> Pourquoi s'embêter à faire un script qui tourne en admin et à  
>>> ouvrir des trous de sécurité pour qu'il puisse faire quelques  
>>> actions en tant que root alors qu'il suffit de le lancer  
>>> directement en tant que root ?
>>
>> quels trous de sécurité ?
>
> le setUID bit est un trou énorme.

on parlait surtout de mettre une ligne dans sudoers. pour le setuid  
je suis d'accord.

> la modification du sudoers peut devenir un trou de sécurité.

bien faite, c'est tout le contraire, puisque tu obtiens une  
séparation des privilèges qui est un modèle de sécurité éprouvé.

> l'utilisation de la crontab aussi, mais y'a moins de risque de  
> faire des bêtises.

oui enfin là, quand tu as des routines à lancer périodiquement, y'a  
pas des masses le choix :)


Patrick PRONIEWSKI
-- 
Administrateur Système - SENTIER - Université Lumière Lyon 2

-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: smime.p7s
Type: application/pkcs7-signature
Taille: 2447 octets
Desc: non disponible
Url: http://coruscant.mosx.org/pipermail/admin-ml/attachments/20071120/3cc75157/smime.bin