>Le Vendredi 2 Novembre 2001 10:05, vous avez �crit : >> En mettant "user" et non "nouser" dans fstab pour un p�riph donn� cela le >> rend montable par n'importe quel utilisateurs. >> La config par d�faut du fichier /bin/mount possede le bit suid positionn� a >> 1 par d�faut. >> Jusqu'ici on es d'accord n'est ce pas? En tout cas c'est mon cas pour une >> 8.0 install�e en serveur (par les m�thodes d'install mdk) et avec un niveau >> de s�curit� �lev�. >> >> Th�oriquement, le suid permet a n'impore quel utilisateur de lancer une >> commands, par exemple mount dans notre cas, sous le compte du propri�taire >> de la commande, root dans ce cas pr�cis. Dans ce cas l'utilisateur es dit >> "utilisateur r�el" et root es dit "utilisateur effectif". >> Ok, jusqu'a pr�sent pas trop de pb. >> >> La commande mount lorsque invoqu� en ligne de commande et du style : >> "$mount /dev/cdom" (1) va aller chercher ds fstab les infos >> suppl�mentaires pour monter le p�riph. >> Mais lorsque on l'invoque totalement en ligne du style : "$/bin/mount -t >> iso9660 ro,user /dev/cdrom /mnt/cdrom" (2) ligne de commande qui serai tout >> a fait valable sous root, elle ne s'�xecute pas sous un autre utilisateur, >> et ceci malgr�s la pr�sence su suid. >> >> a priori, la commande, que je qualifierai de "reduite" (1) va chercher ds >> fstab les infos alors que l'autre commande (2) n'y va pas. >> Alors ds ce cas pourquoi dans un cas le suid va permettre a un utilisateur >> r�el de lancer la commande sous l'utilisateur effectif "root" et pas dans >> l'autre cas? >> >> Je pense que la se situera la r�ponse a ta question sur la s�curit� su >> serveur. >> Vincent >> > >tu donnes une partie de la r�ponse! > >qd tu lances une commande en user avec le bit suid root, le processus a alors >2 uid. l'uid r�el qui est celui du schell dans lequel la commande s'execute >et l'uid effectif qui est celui de root. >il est donc possible (souhaitable!) d'�crire une application devant utiliser >le bit suid root pour qu'elle s'�x�cute avec l'uid effectif dans certaines >conditions et l'uid r�el dans d'autres. beaucoup de trous de s�curit� >viennent de commandes suid ou ces conditions ont �t� mal d�finies ou de >commandes auxquelles l'utilisateur/administrateur a attribu� le suid root � >tort. >je ne connais pas les sources de mount, mais vu le comportement, on peut >penser qu'il se passe qqchose du genre pour les syst�mes de fichiers >amovibles. > >v�rifier que le 1er argument de la commande soit une entr�e valide de >/etc/fstab; si �a passe, continuer avec l'uid effectif puis v�rifier que la >ligne correspondante de /etc/fstab comporte l'option user; si �a passe, >continuer avec l'uid effectif et executer mount avec les options pr�vues dans >/etc/fstab >si � un moment qqconque, �a ne passe pas, revenir � l'uid r�el et ne >continuer que si l'uid r�el est celui de root. sinon afficher un message >d'erreur. >� traduire dans le language appropri�!... ;) > >bye >jipe > > >-- >Si vous voulez bien manger en Angleterre, >prenez trois petits d�jeuners. >Oscar Wilde. > > Tu as jett� un coup d'oeil au post que j'ai forward� sur confirme? En fait j'y explique une manip que j'ai tent� et dont je ne comprenais pas le r�sultat. J'au eu une r�ponse en faisant r�f�rence a un howto mais je n'arrive pas a trouver ds ledit document la r�ponse. Je suis toujours en train de chercher (via linuxdoc.org) et c'est donc pour cela que je n'ai pas encore donn� suite. Ou alors c'est peut�tre que je n'y comprend rien de rien, ce qui n'est pas forc�ment exclus... lol vincent _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
