NON ! Il existe un petit programme très sympa dénommé 'sudo' dans lequel tu
permets à quelques utilisateurs choisis
d'effectuer des actions normalement réservé à des utilisateurs à pouvoir.
Ainsi pour peu que l'utilisateur en question
fasse partie des sudoers (les utilisateurs à qui ont a
ARGH !
Si tu donnes les droits sudo pour utiliser tail en tant que root, toto le
hackeur va faire
sudo tail -n 1000 /etc/shadow
Il pourra aussi visualiser tous les autres fichiers de conf normalement
secrets (je pense aux confs SQL, LDAP, ppp, et il y en a surement plein
d'autres)
* DEFFONTAINES Vincent [09:40 13/05/03 CEST]:
NON ! Il existe un petit programme très sympa dénommé 'sudo' dans
lequel tu permets à quelques utilisateurs choisis d'effectuer des
actions normalement réservé à des utilisateurs à pouvoir. Ainsi pour
peu que l'utilisateur en question fasse partie
Mais on peut bien configurer son fichier sudoers pour n'autoriser tail
que sur certains répertoire fichier, par exemple :
Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
totoALL = PASSWD : TAIL_LOG
Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
/var/log.
Question
On Tue, May 13, 2003 at 10:42:36AM +0200, Nicolas Évrard wrote:
* DEFFONTAINES Vincent [09:40 13/05/03 CEST]:
NON ! Il existe un petit programme très sympa dénommé 'sudo' dans
lequel tu permets à quelques utilisateurs choisis d'effectuer des
actions normalement réservé à des utilisateurs à
Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
totoALL = PASSWD : TAIL_LOG
Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
^
que ???
De fait !
--
Nicolas Évrard
Bonjour,
Le ven 09/05/2003 à 20:22, Loick.B a écrit :
Je souhaiterai loguer en permanence sur la console le contenu de
/var/log/apache/access.log
Y-a t'il une combine qui m'évite de laisser tourner un processus du style
tail -f /var/log/apache/access.log (surtout en root) ?...
Il y a moyen
Mais on peut bien configurer son fichier sudoers pour n'autoriser tail que
sur certains
répertoire fichier, par exemple :
Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
totoALL = PASSWD : TAIL_LOG
Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
/var/log.
Exemple :
Exemple :
sudo /usr/bin/tail /var/log/../../etc/shadow
A tester, mais je suis prêt à parier que ça marche !
Désolé de me répondre à moi-même.
Je viens de tester, et cela fonctionne à merveille...
Ainsi parlait DEFFONTAINES Vincent :
Mais on peut bien configurer son fichier sudoers pour n'autoriser tail que
sur certains
répertoire fichier, par exemple :
Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
totoALL = PASSWD : TAIL_LOG
Et ainsi toto ne peut plus faire des sudo
En revanche, le problème de droit reste accessoire. Mon problème réel
reste toujours d'afficher les ajouts au fichier sur la console en temps
réel sans faire tourner un processus du style tail sur cette même console
(du style des logs envoyé en console grace à la commande LOG de
#secure method=pgpmime mode=sign
On 13 mai 2003, Nicolas Évrard told this:
[...]
ARGH ! Si tu donnes les droits sudo pour utiliser tail en
tant que root, toto le hackeur va faire sudo tail -n 1000
/etc/shadow Il pourra aussi visualiser tous les autres fichiers de
conf
On 10 mai 2003, Loick B. outgrape:
Le Samedi 10 Mai 2003 10:15, Matthieu Moy a écrit :
Loick.B [EMAIL PROTECTED] writes:
Y-a t'il une combine qui m'évite de laisser tourner un processus
du style tail -f /var/log/apache/access.log (surtout en root)
?...
Y'a-t-il vraiment
Loick.B [EMAIL PROTECTED] writes:
Y-a t'il une combine qui m'évite de laisser tourner un processus du style
tail -f /var/log/apache/access.log (surtout en root) ?...
Y'a-t-il vraiment besoin d'être root ? Un utilisateur du bon groupe
devrait suffire.
--
Matthieu
Le Samedi 10 Mai 2003 10:15, Matthieu Moy a écrit :
Loick.B [EMAIL PROTECTED] writes:
Y-a t'il une combine qui m'évite de laisser tourner un processus du style
tail -f /var/log/apache/access.log (surtout en root) ?...
Y'a-t-il vraiment besoin d'être root ? Un utilisateur du bon groupe
Hello.
Je souhaiterai loguer en permanence sur la console le contenu de
/var/log/apache/access.log
Y-a t'il une combine qui m'évite de laisser tourner un processus du style
tail -f /var/log/apache/access.log (surtout en root) ?...
Merci d'avance et bonne soirée à tous,
Erick
16 matches
Mail list logo
