Kandu.dk - SUID userdel + webinterface = dårlig kombination


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

SUID userdel + webinterface = dårlig kombi~
Fra : Michael Knudsen

Dato : 17-12-00 00:46

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hey

Jeg ville lige dele en oplevelse med jer..
Jeg arbejder sammen med en anden på et projekt. Vi er faktisk
færdige, der mangler kun nogle få ting, så det er jo rart. For knap
halvanden time siden ringede min makker og fortalte, at han var
"kommet til at slette root-kontoen"... Jeg sad længe og lurede over,
hvordan man kunne "komme til" at skrive "userdel -r root". Det viste
sig så at være et webinterface, der var lavet lidt for hurtigt (det
skulle bare bruges til at fjerne users med fra både en db og fra
selve systemet), som han så havde misforstået.. Han greb telefonen
for at ringe til mig, men da han ikke har ISDN, koblede hans modem
fra, og så var han heller ikke logget ind som root længere... Det
betød, at han ikke kunne kopiere passwd-, shadow-, groups-, og
gshadow- ind i stedet for de nuværende.. Det så en smule sort ud,
idet vi helst ikke ville tage maskinen ned.. hvilket vi heller ikke
ville kunne.. man skal jo som regel være root for at kunne
'shutdown'.. og risikoen for et smadret fs kombineret med mangel på
backup var lidt for stor..
Vi havde dog en SUID adduser liggende (det lyder som et utroligt
sikkert system, ikke =) ), og så havde jeg en gammel passwordfil
liggende, og ved at kopiere et af password-hashene over i min
"adduser -u 0 -g 0 -p hash root"-linie fik vi så oprettet en ny
'root'.. jeg havde selvfølgelig i første omgang glemt at tildele
root en shell. Jeg havde også glemt, at adduser tolket
"-p"-argumentet som en hash, og derfor fik jeg først oprettet en root
konto med et ukendt password.. Så gik jeg i lettere panik, men jeg
kom så i tanke om, at man blot kunne oprette en anden user med
uid=0...
Til sidst fik vi rettet op på problemet, men daaaaaaaamn...

Moralen er derfor, at lade være med at lave noget så smart, at det
kan bruges dumt..

Mvh. Michael

Nåja, der er blevet delt dummeslag ud, og en afdragsordning i form af
øl er blevet iværksat =)

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.1 for non-commercial use <http://www.pgp.com>

iQA/AwUBOjvwtlrQC3yibmHjEQIH9QCg0RM+S9jZSWSblF4pTW+ewjp/2wIAn0Ca
H9fCF/VOGR3MxZxdh7twF7k9
=1gHG
-----END PGP SIGNATURE-----

Søg

Reklame

Statistik

Spørgsmål :	177514
Tips :	31968
Nyheder :	719565
Indlæg :	6408617
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste