Решено: setuid-бит не работает со скриптами (скрипт для монтирования образов создан)

[math]

есть скрипт, принадлежит root:root, для него установлен setuid-бит:

Код: Выделить всё

#!/bin/bash
mount "$1" /media/image -o loop,users,ro

Почему mount отказывается монтировать и как заставить?

ЗЫ: Не знаю, может в "Вопросы новичка" стоило запостить...

[agentprog]

`sticky-бит' не описывается в POSIX. Такое специфическое название он получил из-за первоначальной функции, которую он выполнял: сохранял исполняемый
код программы на устройстве подкачки. В настоящее время установка sticky-бита для каталога, приводит к тому, что только владелец файла и владелец этого
каталога могут удалять этот файл из каталога. (Обычно это используется в каталогах типа /tmp, куда все имеют права на запись).

предположительно Вам нужен setuid-бит. что-то вроде

Код: Выделить всё

chmod u+s script.sh

PS: тоже смотря что монтировать. если iso, то надо бы параметром mount указать -t iso9660

[ZyX]

PS: тоже смотря что монтировать. если iso, то надо бы параметром mount указать -t iso9660

Смотря где. У меня mount спокойно жрёт mount -o loop /path/to/file.iso /mnt/cdrom. О том, какая там ФС догадывается как-то сам.

[math]

`sticky-бит' не описывается в POSIX. Такое специфическое название он получил из-за первоначальной функции, которую он выполнял: сохранял исполняемый
код программы на устройстве подкачки. В настоящее время установка sticky-бита для каталога, приводит к тому, что только владелец файла и владелец этого
каталога могут удалять этот файл из каталога. (Обычно это используется в каталогах типа /tmp, куда все имеют права на запись).

предположительно Вам нужен setuid-бит. что-то вроде

Код: Выделить всё

chmod u+s script.sh

PS: тоже смотря что монтировать. если iso, то надо бы параметром mount указать -t iso9660

я просто неправильно написал, конечно setuid-бит. Сейчас поправлю

[Hephaestus]

Почему mount отказывается монтировать и как заставить?

А этот скрипт при выполнении ругается как-нибудь? Чего говорит?

[math]

Почему mount отказывается монтировать и как заставить?

А этот скрипт при выполнении ругается как-нибудь? Чего говорит?

mount: только root может сделать это


ЗЫ. Нашёл вот

Сохраняемый идентификатор пользователя(SUID) применителен только к исполняемым модулям программ, которые обычно зовут бинарными файлами и имеющие соответствующие права запуска.

Собстевнно, проблему я решил. Надо сделать два скрипта:
loop_mount_core:

Код: Выделить всё

#!/bin/bash
mount "$1" /media/image -o loop,ro

loop_mount:

Код: Выделить всё

#!/bin/bash
sudo loop_mount_core "$@"

в sudoers надо разрешить запуск loop_mount_core без пароля
прада неясно, как в loop_mount_core узнать какой юзер это запустил (это нужно для проверки - можно монтировать, или отказать)

[Hephaestus]

в sudoers надо разрешить запуск loop_mount_core без пароля
прада неясно, как в loop_mount_core узнать какой юзер это запустил (это нужно для проверки - можно монтировать, или отказать)

А это все ради чего вообще? Зачем такие сложности: два скрипта, sudoers, запуск без пароля...
Если уж влом монтировать от рута (хотя я привык), то может проще использовать fuse?

[math]

в sudoers надо разрешить запуск loop_mount_core без пароля
прада неясно, как в loop_mount_core узнать какой юзер это запустил (это нужно для проверки - можно монтировать, или отказать)

А это все ради чего вообще? Зачем такие сложности: два скрипта, sudoers, запуск без пароля...
Если уж влом монтировать от рута (хотя я привык), то может проще использовать fuse?

задача: разрешить юзерам монтировать свои образы.
осталась одна проблема: в скрипте, запущенном из-под sudo узнать имя юзера, который этот скрипт запустил

[varuh]

Math, как вариант могу Вам предложить Furius ISO Mount - GTK морда для стандартной mount. Она вообще пароль не запрашивает, и кроме ISO умеет монтировать IMG, BIN, MDF и NRG.

[allez]

осталась одна проблема: в скрипте, запущенном из-под sudo узнать имя юзера, который этот скрипт запустил

Гляньте на переменную окружения SUDO_USER.

[/dev/random]

Если что, бит SUID преднамеренно не работает на скриптах. Только на бинарниках.

[anonymous.ru]

math, Вы представляете какую дыру в безопасности, Вы сделали?
Если бы система разрешила suid на Ваш shell скрипт - любой пользователь смог бы вызвать любую команду от рута.
То же самое во втором решении - там конечно вообще suid не нужен, но опять же - кто угодно сможет вызвать произвольную команду от рута

осталась одна проблема: в скрипте, запущенном из-под sudo узнать имя юзера, который этот скрипт запустил

программа sudo сама по себе прекрасно проверяет имя пользователя и разрешает или запрещает выполнение команды в зависимости от правил в sudoers

[Hephaestus]

задача: разрешить юзерам монтировать свои образы.

Если я ничего не путаю, то fuse именно для этого и существует. Ибо это Filesystem in Userspace
Думаю, корифеи не дадут соврать и поправят меня, если я ошибаюсь.

UPD: Точнее речь идет об утилите fuseiso.

[watashiwa_daredeska]

там конечно вообще suid не нужен, но опять же - кто угодно сможет вызвать произвольную команду от рута

Почему произвольную? Только loop_mount_core.

[t.t]

осталась одна проблема: в скрипте, запущенном из-под sudo узнать имя юзера, который этот скрипт запустил

программа sudo сама по себе прекрасно проверяет имя пользователя и разрешает или запрещает выполнение команды в зависимости от правил в sudoers

Автору темы нужно узнать имя пользователя не для проверки прав на выполнение команды, а для того, чтобы каждому позволить монтировать только его собственные образы.

[anonymous.ru]

Почему произвольную? Только loop_mount_core.

ну для начала: есть такая замечательная переменная PATH

[t.t]

Почему произвольную? Только loop_mount_core.

ну для начала: есть такая замечательная переменная PATH

И?

[/dev/random]

Вообще, тут возможно только 3 решения, два из которых уже назвали.
1) использовать fuseiso вместо mount

Shell

* sys-fs/fuseiso Available versions: 20070708 Homepage: http://fuseiso.sourceforge.net/ Description: Fuse module to mount ISO9660

fuseiso позволяет любому пользователю монтировать принадлежащие ему образы в принадлежащиеему каталоги.

2) Использовать в скрипте переменную SUDO_USER для проверки того, от какого пользователя он выполнялся, и запускать его через sudo.

3) Написать несложную программу на C. Для них можно устанавливать бит SUID.

[anonymous.ru]

Почему произвольную? Только loop_mount_core.

ну для начала: есть такая замечательная переменная PATH

И?

И какая из программ по имени mount будет выполнена?

[t.t]

Почему произвольную? Только loop_mount_core.

ну для начала: есть такая замечательная переменная PATH

И?

И какая из программ по имени mount будет выполнена?

Во-первых, sudo использует $PATH рута. Во-вторых, никто не мешает прописать полный путь; но это и не обязательно (см. «во-первых»).

[anonymous.ru]

Во-первых, sudo использует $PATH рута. Во-вторых, никто не мешает прописать полный путь; но это и не обязательно (см. «во-первых»).

Про первое не знал. прям как у рута? то есть как делает логин шелл?
Про второе - конечно можно.

Ок. смотрим дальше на опции mount: можно смонтировать любую фс с поддержкой suid и dev

[watashiwa_daredeska]

Во-вторых, никто не мешает прописать полный путь; но это и не обязательно

Хм... крайний раз когда я пробовал, было необходимо прописывать полный путь, иначе правило не срабатывало.

смотрим дальше на опции mount: можно смонтировать любую фс с поддержкой suid и dev

Нельзя. Используется один аргумент "$1", опции фиксированы. Как смонтировать с suid и dev?

[anonymous.ru]

Нельзя. Используется один аргумент "$1", опции фиксированы. Как смонтировать с suid и dev?

это опции по умолчанию

[anonymous.ru]

Хм... крайний раз когда я пробовал, было необходимо прописывать полный путь, иначе правило не срабатывало.

глянул man sudoers
там пишут:
"env_reset"
Если установлено, то sudo обнулит значения переменных окружения оставив только следующие: HOME, LOGNAME, PATH, SHELL, TERM, и USER (в дополнение к переменным SUDO_*). Из них будет полностью скопирован в неизменном виде только TERM. Прочие переменные будут установлены в значения по умолчанию (возможно изменённые в соответствии со значениями параметра set_logname). Если sudo было собрано с параметром SECURE_PATH, то это значение быдет использовано для переменной окружения PATH. Другие переменные могут быть сохранены использованием параметра env_keep.

[t.t]

Во-вторых, никто не мешает прописать полный путь; но это и не обязательно

Хм... крайний раз когда я пробовал, было необходимо прописывать полный путь, иначе правило не срабатывало.

Речь про полный путь в скрипте, а не в sudoers.

[watashiwa_daredeska]

глянул man sudoers
там пишут:
"env_reset"

Да при чем тут env_reset... Я говорю о том, что если в sudoers прописать правило на команду «mount», то это правило никогда не сработает. Нет такого файла. Есть /bin/mount, /home/vasya/bin/mount, /tmp/angry-trojan/mount и т.п, где бы и как бы не были установлены PATH и как бы пользователь ни вызывал эту команду. Ибо sudo всегда для сравнения берет абсолютный путь к запускаемому файлу, но путь из sudoers берет без изменений и преобразований по PATH или как там еще.

[anonymous.ru]

watashiwa_darede..., как уже написал t.t, речь идет о mount внутри скрипта loop_mount_core.

[watashiwa_daredeska]

это опции по умолчанию

Хм... в первом посте было правильно: -o loop,users,ro

users ... This option implies the options noexec, nosuid, and nodev

Ну что ж, значит надо прописать :)

как уже написал t.t, речь идет о mount внутри скрипта loop_mount_core.

А... ну да, тут ведь не mount в sudoers прописывается, а скрипт. Чо-то я затупил :)

[math]

осталась одна проблема: в скрипте, запущенном из-под sudo узнать имя юзера, который этот скрипт запустил

Гляньте на переменную окружения SUDO_USER.

спасибо, это то что мне надо
по поводу fuser и др. - у меня стоит cdemu, но мне нужно loop-монтирование для юзеров

Во-первых, sudo использует $PATH рута. Во-вторых, никто не мешает прописать полный путь; но это и не обязательно (см. «во-первых»).

Про первое не знал. прям как у рута? то есть как делает логин шелл?
Про второе - конечно можно.

Ок. смотрим дальше на опции mount: можно смонтировать любую фс с поддержкой suid и dev

я просто не выкладывал полный скрипт, там есть ещё проверки безопасности и т.д. Сейчас доделаю и выложу. Может кому-нибудь будет интересно посмотреть, дыры поискать

[math]

итого:
/usr/bin/loop_mount:

Код: Выделить всё

#!/bin/bash
sudo /usr/bin/loop_mount_core "$@"

/usr/bin/loop_umount:

Код: Выделить всё

#!/bin/bash
sudo /usr/bin/loop_umount_core "$@"

/usr/bin/loop_mount_core:

Код: Выделить всё

#!/bin/bash
if [ ! -f "$1" ]; then
    exit 1
fi
if su $SUDO_USER -c "[ ! -r \"$1\" ]"; then
    exit 1
fi
if [ "$2" = rw ]; then
    if su $SUDO_USER -c "[ -w \"$1\" ]"; then
        /bin/umount /media/image 2>/dev/null
        /bin/mount "$1" /media/image -o loop,users
        exit 0
    fi
fi
/bin/umount /media/image 2>/dev/null
/bin/mount "$1" /media/image -o loop,users,ro

/usr/bin/loop_umount_core:

Код: Выделить всё

#!/bin/bash
/bin/umount /media/image 2>/dev/null

/etc/sudoers (часть):

Код: Выделить всё

Cmnd_Alias LOOP_MOUNT = /usr/bin/loop_mount_core,/usr/bin/loop_umount_core
%users    LOCALHOST = NOPASSWD: LOOP_MOUNT

теперь я могу монтировать любой образ, а не только iso9660