suid

シェルスクリプトからSUIDを安全に取得する最も簡単な方法
suid

シェルスクリプトからSUIDを安全に取得する最も簡単な方法

/nix/storeOCIコンテナが書き込み可能なかのようにマウントされた読み取り専用ディレクトリにアクセスできるようにオーバーレイをインストールする必要があるスクリプトがあります。 ルート/ホイール以外のユーザーにこのスクリプトを実行させたいと思います。最も簡単な方法は何ですか?当初、私は素直に試してみましたが、SUIDこれがうまくいかないことに気づきました。これはシェルスクリプトの危険性に対する多くのSUID回答と記事をもたらしました。そのうちの1つは、なぜそれをいくつかのCプログラムでラップしたのか説明しましたが、安全を解決することはできません。クリー...

Admin

制限されたパラメータ/環境/コンテキストのみを使用してsuid exeファイルを実行できるようにするにはどうすればよいですか?
suid

制限されたパラメータ/環境/コンテキストのみを使用してsuid exeファイルを実行できるようにするにはどうすればよいですか?

ユーザーが特定のパラメータ、環境変数設定、およびコンテキスト設定でのみ実行できるsuid-to-root実行可能ファイルがあります。 exeファイルを修正できません。 許容されるパラメータ化、環境、およびコンテキスト設定ごとに、パラメータなしのスクリプトでexeをラップします。問題は、ユーザーがこれらのスクリプトを実行できるようにしますが、そうでなければexeを実行できないようにする方法です。 以下に提案するソリューションやより良い代替案にセキュリティ上の問題がありますか? polkitやsudoがこれを行うことができるかどうかはわかりませんが、方法を知って...

Admin

ユーザーを追加してSUIDを設定すると、「操作が許可されていません」エラーが発生するのはなぜですか?
suid

ユーザーを追加してSUIDを設定すると、「操作が許可されていません」エラーが発生するのはなぜですか?

新しいユーザーtommyがrootと同じコマンドを実行できるようにSUIDを設定しています。 [root@192 ~]# useradd tommy [root@192 ~]# su - tommy [tommy@192 ~]$ chmod u+s /usr/bin/ls chmod: changing permissions of '/usr/bin/ls': Operation not permitted` このコマンドを正常に実行するには、このユーザーをsudoersファイルに追加する必要がありますか? ...

Admin

ファイル/ディレクトリ生成時にSUIDビットを無視する
suid

ファイル/ディレクトリ生成時にSUIDビットを無視する

ユーザーに属するフォルダにSUIDとSGIDビットを設定しました。金持ちそしてsudo chmod g+s myfolder&sudo chmod u+s myfolder drwsr-sr-x 24 foo www-data 4,0K Okt 25 16:17 myfolder その後、フォルダを作成し、sudo mkdir xyzフォルダ内のユーザーを上書きし、rootグループは正常に保護されました。 drwxr-sr-x 2 root www-data 4,0K Okt 25 16:24 xyz ユーザーは保護されたいので、foo実行後も維持す...

Admin

事前定義されたSSHスクリプトをリモートシステム実装にアップグレードする
suid

事前定義されたSSHスクリプトをリモートシステム実装にアップグレードする

問題は、パスワードを使用せずにコンピュータAからコンピュータBにいくつかのSSHコマンド(またはスクリプト)を実行したいということです。 例: ssh apple@computerB 'poweroff' ssh apple@computerB "killall firefox; systemctl enable apache; firefox" ssh apple@computerB < superscript.txt 私もできるだけ安全にこの仕事をしたい。端末を開くと、コンピュータBにSSHで接続できないはずです。明らかに、スクリプト/プログラム...

Admin

ファイルがルートアカウントで実行されていることをどのように確認できますか?
suid

ファイルがルートアカウントで実行されていることをどのように確認できますか?

-rwsr-xr-x script.shルートアカウント権限を持つファイルを作成したとします。ファイルにsuidビットが設定されているため、ファイルを実行したいすべてのユーザーはファイル所有者のルートによって実行されます。たとえば、passwd次のコマンドを見てみましょう。 $ ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 68208 Apr 16 17:06 /usr/bin/passwd このコマンドは私たちのファイルに似ています。 rootまたはsudo権限を持ってこのコマンドを実行するすべてのユーザーは、...

Admin

SUIDビットが設定されているファイルを見つけるときにfindに-type fを指定する理由はありますか?
suid

SUIDビットが設定されているファイルを見つけるときにfindに-type fを指定する理由はありますか?

-type fと一緒に使う理由は何ですかfind / -perm -u=s -type f 2>/dev/null?インターネットで見たものですが、SUIDビットセットを見つけると、なぜタイプが通常のファイルとして指定されているのかわかりません。 SUIDは、ディレクトリではなくファイルにのみ設定できます。理由は何ですか-type f ?それとも私が何かを見逃しているのでしょうか? ...

Admin

「awk」や「vim」などのコマンド実行をサポートする一般的なバイナリは、setuidビットに従わないのですか?
suid

「awk」や「vim」などのコマンド実行をサポートする一般的なバイナリは、setuidビットに従わないのですか?

私はLinuxシステムを強化しており、コマンドの実行(など)をサポートする一般的なバイナリを使用してsetuidシェルエスケープをテストしたいと思います。awkvim しかし、私がテストしたすべてのバイナリはshそのビットをbash尊重しませんsetuid。 特に、awk通常のユーザーとして実行し続けます。 $ ls -lL /usr/bin/awk -rwsr-xr-x 1 root root 121976 Mar 23 2012 /usr/bin/awk $ id uid=1000(bob) gid=1000(bob) groups=1000(b...

Admin

nosuidをsuidパーティションにバインドマウントできますか?
suid

nosuidをsuidパーティションにバインドマウントできますか?

/targetを使用してマウントsuidしてから/ boundにマウントをバインドすると、mount -o bind,nosuid /target /boundnosuidは/ boundに適用されますか? (動作しなければならないと思いますが、まだ明確な答えを望んでおり、ここには誰も質問していないので、そうです) ...

Admin

root以外のユーザーにsetuid()が機能しないのはなぜですか?
suid

root以外のユーザーにsetuid()が機能しないのはなぜですか?

setuid()setuid ビットに関して異常な動作が発生しました。 suidビットとsetuid()が期待どおりに機能しないようです。私は+sを持ち、uid 1001が所有するバイナリを期待しています。このバイナリはsetuid(1001)すべてのuidで呼び出すことができ、呼び出し後にuid 1001を想定します。ただし、これは次の場合にのみ機能するようです。 + sが設定されておらず、呼び出し側のユーザーはrootです。 +sが設定され、バイナリはルートに属します。 詳細を見落としていることを願っていますが、エラーが見つかりませんでした。 ...

Admin

ユーザーのセルフサービスに対してスクリプト/コマンドを実行するには、root権限が必要です。
suid

ユーザーのセルフサービスに対してスクリプト/コマンドを実行するには、root権限が必要です。

トピックの中心は、私が満足していない非常に一般的なトピックです。 pidを見つけ、kill見つかったpidに対してコマンドを実行するスクリプトがあります。 だから私はchownスクリプトをsuidとしてroot.root追加しました4755。 スクリプトはroot権限で実行する必要があります。そうですか?いいえ。 セキュリティ上の理由で機能しない理由を説明する優れた説明記事を偶然発見しました。ここでVidarのブログをチェックしてください。 同様のコードを実装する方法はありますか? kill -9 3385 ルートの文脈で? 必要な権限で添...

Admin

スクリプトおよび解釈言語に適した suid 置換
suid

スクリプトおよび解釈言語に適した suid 置換

Unix(Gnu / Linuxを含む)では、suid / sgid(またはファイル関数)は特権を高める唯一の基本的な方法です(他のすべての方法ではこれを使用します)。 システム管理者として、私はスクリプトが簡単で作業に適しているので、スクリプトの作成を楽しんでいます。 ただし、スクリプトやその他の解釈言語は suid と sgid をサポートしていません。 だからいくつかの選択肢を探したかった。 (一般的な解決策や特別な場合は気にしません)。 ...

Admin