Bash script and suid

[Voice]

Здравствуйте.
Необходимо дописывать в один конфиг-файл, конфиг валяется в /etc и принадлежит руту. На баше это реализовать не получается, по не понятным причинам. Но на С сделал программку, которая делает то же, и все работает отлично. Может кто просветит почему баш-скрипт не работает как ожидается.

Вот собственно попытка реализации:

Код: Выделить всё

[user@foo foo] $ ll
total 8
drwxr-xr-x 2 root root 4096 2009-02-20 12:11 foo
-rwsr-sr-x 1 root root   32 2009-02-20 12:10 test
[user@foo foo] $ ll foo/
total 0
-rw-r--r-- 1 root root 0 2009-02-20 12:11 bar
[user@foo foo] $ cat test
#!/bin/bash

echo "foo" >> "$1"
[user@foo foo] $
[user@foo foo] $
[user@foo foo] $ ./test foo/bar
./test: line 3: foo/bar: Permission denied
[user@foo foo] $

Понимаю, что мое непонимание от непонимания/незнания чего-то, но вот чего...

[nesk]

возможно в ядре запрещены shell-скрипты с suid
Ваш скрипт - дает возможность выполнить практически любую команду от рута!

[Sleeping Daemon]

Здравствуйте.
Необходимо дописывать в один конфиг-файл, конфиг валяется в /etc и принадлежит руту. На баше это реализовать не получается, по не понятным причинам. Но на С сделал программку, которая делает то же, и все работает отлично. Может кто просветит почему баш-скрипт не работает как ожидается.

Вот собственно попытка реализации:

Код: Выделить всё

[user@foo foo] $ ll
total 8
drwxr-xr-x 2 root root 4096 2009-02-20 12:11 foo
-rwsr-sr-x 1 root root   32 2009-02-20 12:10 test
[user@foo foo] $ ll foo/
total 0
-rw-r--r-- 1 root root 0 2009-02-20 12:11 bar
[user@foo foo] $ cat test
#!/bin/bash

echo "foo" >> "$1"
[user@foo foo] $
[user@foo foo] $
[user@foo foo] $ ./test foo/bar
./test: line 3: foo/bar: Permission denied
[user@foo foo] $

Понимаю, что мое непонимание от непонимания/незнания чего-то, но вот чего...

Прописать этот скрипт в sudoers и выполнить его с sudo.

[Voice]

возможно в ядре запрещены shell-скрипты с suid

Не знал про такую возможность. Ядро стандартное Убунтовское, и на FreeBSD 6.2 с tcsh тоже не работает.
Есть возможность это проверить?

Ваш скрипт - дает возможность выполнить практически любую команду от рута!

Это я понимаю. Но ведь кроме рута его и модифицировать никто не сможет, так что не вижу повода для беспокойства.

Прописать этот скрипт в sudoers и выполнить его с sudo.

Ну это понятно. Меня, в принципе, устраивает вариант с программой на С, но хотелось бы выяснить почему suid не работает.

[Subj]

На скрипты не действует suid

[Portnov]

Насколько я понимаю, дело в том, что при запуске скрипта реально запускается интерпретатор. На котором suid-бита нет.

[nesk]

дело не только в модификации.
есть еще куча подводных камней. короче:

SUID shell scripts are a serious security risk, and for this reason the kernel will not honor them. Regardless of how secure you think the shell script is, it can be exploited to give the cracker a root shell.От сюда

С флагом suid, на двоичных исполняемых файлах, надо быть очень осторожным, поскольку это может быть небезопасным. Установка флага suid на файлы-сценарии не имеет никакого эффекта.Advanced Bash-Scripting

Умные дятьки-разработчик, запретили безбашенным админам ставить SUID на скрипты.

Насколько я понимаю, дело в том, что при запуске скрипта реально запускается интерпретатор. На котором suid-бита нет.

все зависит от реализации. Вот в hp-ux разрешены suid-скрипты и все работает.

[Voice]

Спасибо, просветили темную голову. :)

[infra_hdc]

возможно в ядре запрещены shell-скрипты с suid
Ваш скрипт - дает возможность выполнить практически любую команду от рута!

Возможно (по крайней мере раньше так было) бит suid по отношению к скрипту, не бинарнику == вобще не действует. Об этом написано в одном из INTUIT-овских курсов по Линуксу.

[Voice]

Возможно (по крайней мере раньше так было) бит suid по отношению к скрипту, не бинарнику == вобще не действует. Об этом написано в одном из INTUIT-овских курсов по Линуксу.

Да, именно так и оказалось. Но мне все равно не понять чем такой скрипт не безопасней бинарника.

[Folderx]

Код: Выделить всё

[guest@station tmp]$ ./test.sh;

Код: Выделить всё

[guest@station tmp]$ PATH=.; test.sh;
./test.sh: line 3: clear: команда не найдена
/bin/ls: невозможно открыть каталог /root: Отказано в доступе
[guest@station tmp]$

права наследуются

[drBatty]

Но мне все равно не понять чем такой скрипт не безопасней бинарника.

кроме всего прочего, бинарный файл можно и не читая выполнять (например с правами 100), а вот для выполнения скрипта потребуются права на чтение. Т.о. злоумышленник не сможет дизассемблировать бинарник, с целью найти в нём уязвимость.
например эту нельзя:

Код: Выделить всё

-rws--x--x 1 root root 31836 2008-03-24 23:11 /bin/su*