Re: Init-Script und nicht-root-User
Johannes Starosta <Johannes.Spamfalle@gmx.net> wrote:
> Wolf Wiegand <wolf@kondancemilch.de> schrieb:
>> Johannes Starosta wrote:
>>> Christian Schoepplein <chris@schoeppi.net> schrieb:
>>>> Ich bräuchte also ein init-Script, dass den Daemon mit den Rechten
>>>> eines bestimmten Users ausführt. Weiterhin sollte dieses Script
>>>> nicht nur unter debian, sondern auch auf anderen Linux-Systemen
>>>> laufen.
>>> Wie wäre es mit einer suid? Dazu änderst du die Eigentümerschaft des
>>> Skriptes und anschließend die Rechte, sodaß das Skript (und dadurch
>>> auch der Daemon) unter dem Benutzer, der die Eigentümerschaft
>>> besitzt läuft.
>> Funktioniert aus Sicherheitgründen mit Skripten nicht:
> Achso. Welche Gründe sind das denn? Das interessiert mich, weil ich
> offensichtlich einen zu behebenen Denkfehler gemacht habe. Man könnte
> alternativ ja den eigentlichen Daemon ja entsprechend bearbeiten. Was
> spräche denn dagegen?
setuid mit Scripten läßt der Kernel nicht zu, da es eine Race Condition
zwischen dem Moment des Feststellens der setuid-heit und dem damit
verbundenen anpassen des Users und dem Moment des Startens des
Interpreters gibt, so daß man durch geschicktes Timing dem Kernel ein
anderes Script unterjubeln könnte, was dieser dann mit erhöhten
Benutzerrechten ausführt.
(So zumindest dir mir bekannte Kurzfassung des Problems.)
S°
--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://sven.formvision.de/blog/
Reply to: