Re: sudo mit falschem suid ? (newbie)
Hallo! On 12 Oct 2003 at 21:56 +, Stefan Hassenstein wrote: In article [EMAIL PROTECTED], Elmar W. Tischhauser wrote: On 12 Oct 2003 at 19:59 +, Stefan Hassenstein wrote: [setuid-root-Probleme mit sudo] Mountest du vielleicht / (oder /usr) mit der Option nosuid? 'user' impliziert =FCbrigens nosuid, nodev und noexec. Meine Güte !!! Herzlichen Dank ! Es freut mich, dass ich helfen konnte. Ein OT-Hinweis noch: Dein slrn scheint irgendwie Quoted-printable nicht zu dekodieren, alle über 7-bit-ASCII hinausgehende Zeichen sehen dann leicht seltsam aus. 003-10-12 21:57:04 unable to set uid=3D8 or gid=3D8 for removing setuid privilege +(3) (euid=3D1001) Diese Meldung sieht eher wie eine deines MTAs aus: UID und GID 8 entsprechen dem User bzw. der Gruppe 'mail'. hmmmversuche gerade exim zum laufen zu bekommen... vielleicht hat der auch ein Problem mit nosuid. Ziemlich sicher. Exim ist normalerweise ebenfalls setuid-root, versucht aber, diese Privilegien so oft als möglich abzulegen. Das gelingt nicht, weil er im Benutzerkontext (EUID=1001=deine Benutzer-UID) aufgerufen wird und das setuid-root-Bit nicht greift. Ich gebe frank und frei zu, als Mac-user mit der ganzen uid-Geschichte noch reichlich Verständnis Probleme zu haben. Ist eigentlich ganz einfach. Benutzer- und Gruppennamen sind nichts anderes als menschenverträgliche Zeichenketten für Benutzer- und Gruppenkennziffern (UIDs und GIDs). Normalerweise geschieht diese Zuordnung über /etc/passwd bzw /etc/group, dokumentiert ist das Format in passwd(5) und group(5). Du kannst diese Einstellungen in kanonischer Weise mit getent abfragen. Jeder Benutzer kann Mitglied in verschiedenen Gruppen sein, eine davon ist seine primäre. Abfragen lässt sich das zum Beispiel mit id. Wenn du nun als Benutzer mit der UID 1001 und der GID 1001 ein Programm startest, wird der Prozess unter dieser realen UID und deiner realen GID ausgeführt. Dabei gehört die dem Prozess zu Grunde liegende ausführbare Datei meist nicht dir, sondern root. Beispiel: -rwxr-xr-x1 root root 1102088 14. Apr 2002 /usr/bin/vim Wenn du nun als Benutzer vim startest, läuft der neue vim-Prozess mit deinen Rechten, also mit UID=1001 und GID=1001. Du darfst aber natürlich /usr/bin/vim weder löschen noch beschreiben. Nun gibt es aber Programme, denen bei Aufruf im Kontext eines normalen Benutzers dessen beschränkte Rechte nicht ausreichen würden. /usr/bin/sudo ist ein Beispiel, weil es ja die nur für root lesbare Datei /etc/sudoers auslesen muss. Für solche Fälle gibt es das Set-User-ID- und das Set-Group-ID-Bit. Hier kommt ins Spiel, dass bei den Rechten eines Prozesses zusätzlich zur realen UID/GID auch die effektive UID/GID verwaltet wird und bei gesetzten s-Bits auf die IDs des Dateieigentümers gesetzt werden. Zum Beispiel: -rwsr-xr-x1 root root80584 27. Apr 2002 /usr/bin/sudo Wenn du nun mit UID=GID=1001 sudo aufrufst, haben wir für diesen Prozess folgende Situation: reale UID=1001effektive UID=0 (root) reale GID=1001effektive GID=1001 , was bedeutet, dass sudo, obwohl von dir gestartet, effektiv mit Root-Rechten läuft. Da von einem normalen Benutzer gestartete Prozesse im Fall von suid-root/sgid-root mit höchsten Rechten laufen, ist es sinnvoll, die Anzahl solcher Programme auf ein absolut notwendiges Minimum zu reduzieren. Vielen Dank und eine gute Woche ! Stefan Wünsche ich dir gleichfalls! Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ··· A mouse is a device used to point at the xterm you want to type in. pgp0.pgp Description: PGP signature
Re: sudo mit falschem suid ? (newbie)
Stefan Hassenstein schrieb/wrote: Ich gebe frank und frei zu, als Mac-user mit der ganzen uid-Geschichte noch reichlich Verständnis Probleme zu haben. Gewoehne Dich am besten dran - derlei Kenntnisse koennen Dir bei Verwendung von MacOS X nur dienlich sein. ;-) Gruss, Christian (ebenfalls aus dem Mac-Lager stammend) -- Christian Schmidt | Germany PGP Key ID: 0x28266F2C No HTML Mails, please! pgp0.pgp Description: PGP signature
Re: sudo mit falschem suid ? (newbie) [OT]
In article [EMAIL PROTECTED], Christian Schmidt wrote: Ich gebe frank und frei zu, als Mac-user mit der ganzen uid-Geschichte noch reichlich Verstaendnis Probleme zu haben. Elmar hat sich ja grosse Muehe gegebenwerd mir seine Erklaerung unters Kopfkissen legen ! Gewoehne Dich am besten dran - derlei Kenntnisse koennen Dir bei Verwendung von MacOS X nur dienlich sein. ;-) Christian...nun hast Du mich am Schopf... bin nicht so progressiv: auf dem Mac laeuft noch das alte MacOS 8.5 (oder so...habs nicht mehr im Kopf, da seit Wochen im power-off Status :-) Christian (ebenfalls aus dem Mac-Lager stammend) aber gut zu wissen, dass es andere auch irgendwie geschafft haben ! mit Unterstuetzung der Liste... nehm ich jetzt mal an :) Gruss, Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo mit falschem suid ? (newbie)
In article [EMAIL PROTECTED], Elmar W. Tischhauser wrote: [setuid-root-Probleme mit sudo] Mountest du vielleicht / (oder /usr) mit der Option nosuid? 'user' impliziert uebrigens nosuid, nodev und noexec. =20 Meine Guete !!! Herzlichen Dank ! Es freut mich, dass ich helfen konnte.=20 [ausfuerhlichste Erklaerung, die ich bisher zum uid Thema gelesen habe ] Vielleicht haette ich doch eher fragen sollen ... :-) Wuensche ich dir gleichfalls! Elmar jetzt ja ! Gruss, Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
sudo mit falschem suid ? (newbie)
[EMAIL PROTECTED]:~$ sudo Sorry, sudo must be setuid root. [EMAIL PROTECTED]:~$ ls -la /usr/bin/sudo -rwsr-xr-x1 root root84872 Oct 13 2002 /usr/bin/sudo wenn ich als user sudo ausführen möchte, kommt obige Fehlermeldung. ich dachte, das erste s entspricht der suid ? bitte einen Tip ! Vielen Dank, Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo mit falschem suid ? (newbie)
Hallo Stefan, * Stefan schrieb: [EMAIL PROTECTED]:~$ sudo Sorry, sudo must be setuid root. [EMAIL PROTECTED]:~$ ls -la /usr/bin/sudo -rwsr-xr-x1 root root84872 Oct 13 2002 /usr/bin/sudo wenn ich als user sudo ausführen möchte, kommt obige Fehlermeldung. ich dachte, das erste s entspricht der suid ? Tut es auch. Liegt da noch ein anderes sudo im PATH vor /usr/bin? Was sagt which -a sudo als user stefan? Gruß christian -- Adolescence, n.: The stage between puberty and adultery. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo mit falschem suid ? (newbie)
In article [EMAIL PROTECTED], Christian Schult wrote: Servus Christian, vielen Dank für Deine Antwort... [EMAIL PROTECTED]:~$ sudo Sorry, sudo must be setuid root. [EMAIL PROTECTED]:~$ ls -la /usr/bin/sudo -rwsr-xr-x1 root root84872 Oct 13 2002 /usr/bin/sudo wenn ich als user sudo ausführen möchte, kommt obige Fehlermeldung. ich dachte, das erste s entspricht der suid ? Tut es auch. Liegt da noch ein anderes sudo im PATH vor /usr/bin? Was sagt which -a sudo als user stefan? du kommst auf Ideen ! Sieht aber nicht so aus, als ob da noch ein anderes sudo dazwischenfunkt... [EMAIL PROTECTED]:~$ which -a sudo /usr/bin/sudo [EMAIL PROTECTED]:~$ gleichzeitig bekomme ich von mutt als user aufgerufen Fehlermeldungen, die vielleicht in die gleiche Richtung deuten ? 003-10-12 21:57:04 unable to set uid=8 or gid=8 for removing setuid privilege +(3) (euid=1001) versuche ich das gleiche als root, ist alles gut ... gruß, Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo mit falschem suid ? (newbie)
Hallo! On 12 Oct 2003 at 19:59 +, Stefan Hassenstein wrote: [EMAIL PROTECTED]:~$ sudo Sorry, sudo must be setuid root. [EMAIL PROTECTED]:~$ ls -la /usr/bin/sudo -rwsr-xr-x1 root root84872 Oct 13 2002 /usr/bin/sudo [...] Mountest du vielleicht / (oder /usr) mit der Option nosuid? 'user' impliziert übrigens nosuid, nodev und noexec. gleichzeitig bekomme ich von mutt als user aufgerufen Fehlermeldungen, die vielleicht in die gleiche Richtung deuten ? 003-10-12 21:57:04 unable to set uid=8 or gid=8 for removing setuid privilege +(3) (euid=1001) Diese Meldung sieht eher wie eine deines MTAs aus: UID und GID 8 entsprechen dem User bzw. der Gruppe 'mail'. Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ··· A mouse is a device used to point at the xterm you want to type in. pgp0.pgp Description: PGP signature
Re: sudo mit falschem suid ? (newbie)
In article [EMAIL PROTECTED], Elmar W. Tischhauser wrote: [EMAIL PROTECTED]:~$ sudo Sorry, sudo must be setuid root. [EMAIL PROTECTED]:~$ ls -la /usr/bin/sudo -rwsr-xr-x1 root root84872 Oct 13 2002 /usr/bin/sudo [...] Mountest du vielleicht / (oder /usr) mit der Option nosuid? 'user' impliziert =FCbrigens nosuid, nodev und noexec. AH !!! Volltreffer ! Meine Güte !!! Herzlichen Dank ! gleichzeitig bekomme ich von mutt als user aufgerufen Fehlermeldungen,=20 die vielleicht in die gleiche Richtung deuten ?=20 =20 003-10-12 21:57:04 unable to set uid=3D8 or gid=3D8 for removing setuid privilege +(3) (euid=3D1001) Diese Meldung sieht eher wie eine deines MTAs aus: UID und GID 8 entsprechen dem User bzw. der Gruppe 'mail'. hmmmversuche gerade exim zum laufen zu bekommen... vielleicht hat der auch ein Problem mit nosuid. Ich gebe frank und frei zu, als Mac-user mit der ganzen uid-Geschichte noch reichlich Verständnis Probleme zu haben. Vielen Dank und eine gute Woche ! Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
