---

Hej

Hvordan kan jeg lave sub. hvis command kun kan køres som root..?

/Jan

---

"Jan Larsen" <jan_l@post12.tele.dk> writes:

> Hvordan kan jeg lave sub. hvis command kun kan køres som root..?

Kig på 'sudo', eller lav den set uid.

Men lad være med at køre din webserver som root.

--
Jacob - www.bunk.cc
To laugh at men of sense is the privilege of fools.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3brxyzqmw.fsf@paven.bunk.cc...
> "Jan Larsen" <jan_l@post12.tele.dk> writes:
>
> > Hvordan kan jeg lave sub. hvis command kun kan køres som root..?
>
eller lav den set uid.
Hvordan lige det ?

/Jan

---

"Jan Larsen" <jan_l@post12.tele.dk> writes:

> eller lav den set uid.
> Hvordan lige det ?

chown root foo
chmod a+s foo

Men vær klar over hvilke sikkerhedsrisici der er ved det! Det betyder
at foo altid kører som root, så der bør naturligvis ikke være
skriverettigheder på foo for andre end root, da enhver jo så vil kunne
køre hvad som helst som root ved blot at overskrive foo.

--
Jacob - www.bunk.cc
Give me a sleeping pill and tell me your troubles.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m37k8mzqc4.fsf@paven.bunk.cc...
> "Jan Larsen" <jan_l@post12.tele.dk> writes:
>
> > eller lav den set uid.
> > Hvordan lige det ?
>
> chown root foo
> chmod a+s foo
>
> Men vær klar over hvilke sikkerhedsrisici der er ved det! Det betyder
> at foo altid kører som root, så der bør naturligvis ikke være
> skriverettigheder på foo for andre end root, da enhver jo så vil kunne
> køre hvad som helst som root ved blot at overskrive foo.
Tak for dit svar, ja der er store sikkerhedsrisici ved det, jeg skulle nok
kigge efter en anden løsning :(

/Jan

---

Jan Larsen wrote:

> Tak for dit svar, ja der er store sikkerhedsrisici ved det, jeg
> skulle nok kigge efter en anden løsning :(

Smid whatever det er i en kø og lad et perlscript hente dataerne og køre
stadset...

--
Take Care
Kim Emax - Freelance programmør
http://www.emax.dk - http://www.ayianapa.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks måske mest avancerede VinWebShop

---

"Kim Emax" <newsgroup@remove-emax.dk> writes:

> Smid whatever det er i en kø og lad et perlscript hente dataerne og køre
> stadset...

Så skal man også lige huske at checke hvad der bliver smidt i køen!

Så ville jeg hellere bruge sudo, hvor man kan definere præcis hvilke
programmer en bruger må afvikle som root.

Men måske Jan burde fortælle hvad det er han vil køre, for måske er
der en anden og bedre løsning.

--
Jacob - www.bunk.cc
Today is the last day of your life so far.

---

Jacob Bunk Nielsen wrote:

> "Kim Emax" <newsgroup@remove-emax.dk> writes:
>
>> Smid whatever det er i en kø og lad et perlscript hente dataerne og køre
>> stadset...
>
> Så skal man også lige huske at checke hvad der bliver smidt i køen!
>
> Så ville jeg hellere bruge sudo, hvor man kan definere præcis hvilke
> programmer en bruger må afvikle som root.
>
> Men måske Jan burde fortælle hvad det er han vil køre, for måske er
> der en anden og bedre løsning.
>
eks.
exec ("/etc/init.d/proftpd restart");
eller lave et webinterface til at oprette bruger med
noget ala.
exec ("adduser xxxxxxxxxxx";

/Jan

---

Jan Larsen wrote:

> eller lave et webinterface til at oprette bruger med
> noget ala.
> exec ("adduser xxxxxxxxxxx";

Lige netop dette har jeg lavet med hårde tjek på, hvad der kastes i
databasen, du ønsker f.eks. ikke at brugeren kan indtaste ; og / - derefter
et perlscript, der kører i cron og henter data ud og opretter derefter
brugeren...

--
Take Care
Kim Emax - Freelance programmør
http://www.emax.dk - http://www.ayianapa.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks måske mest avancerede VinWebShop

---

Jan Larsen <jan@snubi.dk> writes:

> exec ("/etc/init.d/proftpd restart");

Det vil jeg mene kan laves fornuftigt med sudo.

> eller lave et webinterface til at oprette bruger med
> noget ala.
> exec ("adduser xxxxxxxxxxx";

Den er straks mere besværlig, da der her vil være input fra en
bruger. Det skal checkes meget grundigt, men sudo kan igen hjælpe, da
den ikke vil tillade at man indtaster "foo; rm -rf /" eller lignende,
da den kun ville tillade fx adduser. Men der skal selvsagt stadig
checkes meget grundigt.

--
Jacob - www.bunk.cc
Hard drive sleeping. Let it wake up on it's own...

---

Den Mon, 19 May 2003 21:20:35 +0200. skrev Jan Larsen:

> Hej
>
> Hvordan kan jeg lave sub. hvis command kun kan køres som root..?
>
> /Jan

I de tilfælde hvor jeg har haft brug for at løre noget som root har jeg
brugt http://sourceforge.net/projects/su-wrapper


Torben