1 |
Am Montag, 17. Oktober 2005 14:57 schrieb ext Arnold Krille: |
2 |
> On 10/17/05, Daniel Rindt <daniel@×××××.name> wrote: |
3 |
> > Am Freitag, den 14.10.2005, 18:08 +0200 schrieb Arnold Krille: |
4 |
> > > Dann hast Du _echt_ ein Problem, denn root darf alles! Oder der user |
5 |
> > > hat als shell den Eintrag "/bin/false", dann kann niemand eine shell |
6 |
> > > unter diesem user öffnen... |
7 |
> > |
8 |
> > Genau an dem ist es. Folgendes Szenario: Der Benutzer wird angelegt |
9 |
> > ohne Eintrag für eine Shell. Das Script was die entsprechenden Dateien |
10 |
> > des Benutzers anfasst läuft als root (ich kann an dem Script nichts |
11 |
> > verändern!) und führt mittels 'su' ungefähr so sieht die Zeile aus: |
12 |
> > '/bin/su - web1 -s /bin/bash -c '/bin/tar -clz -C /home/www/web1/html |
13 |
> > -f /home/www/web1/backup/html.tar.gz .'' |
14 |
> |
15 |
> Das Problem ist das "su -" was bedeutet: "wechsel richtig auf den user |
16 |
> inlusive login-shell" Wenn der User aber keine Login-shell hat, geht |
17 |
> das nicht. In der Zeile oben muss der erste bindestrich weg, dann |
18 |
> gehts. Oder der user bekommt eine Loginshell aber kein Passwort bzw. |
19 |
> ein Ausrufezeichen (oder so) in /etc/shadow, dann kann keiner per |
20 |
> passwort-authentifizierung auf diesen User wechseln... |
21 |
|
22 |
Ob mit oder ohne "-", ohne Shell kann der Befehl hinter -c nicht ausgeführt |
23 |
werden, Er braucht also den Shell Eintrag. |
24 |
|
25 |
> > Leider geht aber eben genau das nicht weil er nicht in der Gruppe wheel |
26 |
> > ist. |
27 |
> |
28 |
> FALSCH! Du schreibst jetzt sofort zehn mal: "Der User root darf alles!" |
29 |
> (*) |
30 |
|
31 |
In dem Fall kann er aber nicht alles, was er darf ;-) |
32 |
|
33 |
Bye... |
34 |
|
35 |
Dirk |
36 |
-- |
37 |
Dirk Heinrichs | Tel: +49 (0)162 234 3408 |
38 |
Configuration Manager | Fax: +49 (0)211 47068 111 |
39 |
Capgemini Deutschland | Mail: dirk.heinrichs@×××××××××.com |
40 |
Hambornerstraße 55 | Web: http://www.capgemini.com |
41 |
D-40472 Düsseldorf | ICQ#: 110037733 |
42 |
GPG Public Key C2E467BB | Keyserver: www.keyserver.net |