Opa Tiago, Foi por isso que eu disse que não recomendo a utilização, pois pode ser passado algum parâmetro que faça o script fazer uma outra função. E se o dono do script for o root, pior ainda.
E, quanto a utilização do nosuid que pode ser colocado no fstab, sim ele não permite a execução dos arquivos também dentro da partição setada como nosuid, e não se aplica só dentro de diretórios. Por isso é recomendado muito a utilização desse parãmetro nos diretórios /var /tmp /home (pois no caso de um ataque ou invasão, executar arquivos com suid bit não é permitido). Junto à essa função no fstab, temos também a opção noexec, que não permite que o dispositivo montado com essa opção rode nenhum tipo de executável. Mas, também não recomendo a utilização de SUID BIT no arquivo, porém, se essa for a unica maneira que ele encontrar pra fazer funcionar. Quanto à sistemas HP-UX, esses não posso dizer muito, pois não conheço tão bem. Abraços! -- Anderson Kaiser [EMAIL PROTECTED] Linux User #: 426240 (1011) 10000011000100100110010000011000 Em 03/09/07, Tiago Barcellos Peczenyj <[EMAIL PROTECTED]> escreveu: > > O Suid pode não funcionar com scripts no HP-UX, nesse caso tem que > "converter" o script para um programa binario (tem programas que fazem > isso, criam um arquivo C que executa todo o programa em um grande > system() ). > > Agora, analisando do ponto de vista de segurança, este artigo é > interessante: > > http://newfdawg.com/SHP-DistRoot-1.htm > > Em especial esta parte: "In the HP Press "HP-UX 11i Security" book and > on various web-sites, the detailed steps are shown on how any regular > user with execute access to a SUID script can gain root access. In > summary, SUID scripts are a bad idea. SUID programs are safer, but > also have their own risks." > > Eu li que o suid pode ser "desabilitado" no fstab, com a opção nosuid. > Agora estou na duvida se isso vale para o suid de diretorios apenas ou > para arquivos também (para diretorios o SUID é bem interessante!!), > mas enfim, é mais um complicador. > > Um script que pode matar processos é algo potencialmente perigoso, eu > tomaria *todo* o cuidado do mundo com ele. > [As partes desta mensagem que não continham texto foram removidas]
