[Admin-ml] Un script shell avec sudo...
Piel Jayce
jayce at mosx.org
Mer 21 Nov 07:52:19 CET 2007
Le 20 nov. 2007 à 10:09, Proniewski Patrick a écrit :
>>>> Pourquoi s'embêter à faire un script qui tourne en admin et à
>>>> ouvrir des trous de sécurité pour qu'il puisse faire quelques
>>>> actions en tant que root alors qu'il suffit de le lancer
>>>> directement en tant que root ?
>>>
>>> quels trous de sécurité ?
>>
>> le setUID bit est un trou énorme.
>
> on parlait surtout de mettre une ligne dans sudoers. pour le setuid
> je suis d'accord.
>
>> la modification du sudoers peut devenir un trou de sécurité.
>
> bien faite, c'est tout le contraire, puisque tu obtiens une
> séparation des privilèges qui est un modèle de sécurité éprouvé.
Tu as bien résumé : "bien faite".
Il est facile d'ouvrir des portes qu'on ne maitrise pas dans le
sudoers, et dire que c'est la solution à tous les problèmes, non !
Imagine un peu un utilisateur qui apprend à se servir du sudoers, il
sait pas trop comment le configurer, et ne sait pas par exemple que
l'on peut limiter les droits d'exécution d'une commande à un groupe
ou une personne. Imagine également que la personne en question se
dise : "cp, c'est pas grave que n'importe qui puisse y avoir droit
avec les droits de root, ça ne détruit rien...". Ce n'est pas une
situation très difficile à imaginer n'est-ce pas ? Ben maintenant, tu
comprends pourquoi je dis que le sudoers PEUT ouvrir de gros trous de
sécurité...
>> l'utilisation de la crontab aussi, mais y'a moins de risque de
>> faire des bêtises.
>
> oui enfin là, quand tu as des routines à lancer périodiquement, y'a
> pas des masses le choix :)
En l'occurence, si j'ai bien compris le message d'origine, il voulait
lancer un script régulièrement, mais comme certains bouts de son
script ont besoin des droits root, il voulait pouvoir lancer des sudo
dans son script sans avoir à taper le mot de passe.
Je le répète, dans ce cas là, l'utilisation de la crontab système ou
d'un dayly.local est beaucoup plus appropriée que la modification du
sudoers...
--
Jayce Piel
MosX.org
la renaissance.....
Plus d'informations sur la liste de diffusion Admin-ml