[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]: Modprobe durch beliebigen Nutzer ausf"uhren lassen?



On Thu, May 14, 1998 at 09:45:35AM +0200, Andreas Tille wrote:
> Hallo,
> 
> zum Einbinden eines Scanners m"ochte ich jedem Nutzer in einem
> Script die Ausf"uhrung von modprobe erlauben.
> 
> Ich hatte angenommen, da"s durch das Setzen von des Bits
>    "Set user ID on execution"
> (so nennt sich das im mc ... wie macht man's mit chmod???)

chmod u+s FILE (fuer User-Rechte beim Ausfuehren)

> dieses erm"oglicht wird.  Meine Datei hat also folgende Rechte:
> 
> -rwxr-xr-t   1 root     root          952 Mai 14 09:36 scanner-on

ist das richtig? sollte es nicht so aussehen:
  -rwsr-xr-x   1 root ....
     ^     ^
> In scanner-on wird modprobe aufgerufen (und dann noch einiges anderes
> gemacht).  Allerdings schl"agt modprobe fehl.

Das ist auf jeden Fall richtig.
Es ist ein Sicherheitsproblem shell-scripte suid-root ausfuehren zu lassen.
Dann kann jeder (bessere) User root rechte bekommen (oder so).

Daher verhindert Linux ein suid-Flag bei shell-scripten. 
> 
> Mache ich da etwas prinzipiell falsch?
> 
> Eine andere L"osung w"are sicherlich sudo zu benutzen, doch das m"ochte
> ich eigentlich umgehen.  Oder ist das die einzige L"osung??

sudo sollte laufen aber auch ein kleines c-Programm.

kann den nicht der Kerneld die Aufgabe uebernehemen?

> Noch "arger wird es allerdings bei rmmod.  Dieses scheint sich nicht
> einmal durch root innerhalb eines Scripts aufrufen, denn es versagt
> selbst in dem einfachsten Fall:
> 
>       #!/bin/sh
>       /sbin/rmmod BusLogic
> 
> (BusLogic ist das Modul f"ur die SCSI-Karte BT-930) selbst wenn root
> dieses Script ausf"uhrt.  Ein einfaches
> 
>       /sbin/rmmod BusLogic
> 
> an der Kommandozeile geht nat"urlich.  Wo ist hier der Haken???

Kann ich nichts zu sagen...

Gruss
Grisu
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <your_email_address>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     451


Reply to: