Re: apagar el sistema como usuario normal
El Miércoles, 17 de Enero de 2007 21:07, Juan Martín Carril escribió:
> Yo probaría con:
>
> chmod u+s /sbin/shutdown
Si haces eso, cualquier usuario podrá apagar el sistema, y cualquier usuario
es también www-data cuando ejecuta código PHP o el que sea vía Apache. Si en
ese código PHP hay un bug que permite al atacante editar dicho código, podría
escribir algo en plan:
system("shutdown -h 0");
y el ordenador se apagaría automáticamente.
Y esto no sería sólo en Apache sino con cualquier otro servicio/usuario del
sistema. ¿Por qué correr ese riesgo?
Creo que es infinitamente más seguro usar sudo, y permitir a un determinado
usuario o grupo la ejecución con privilegios de un determinado(s) comandos
solicitándole (o no) su propia contraseña de usuario.
Saludos.
--
Iñaki
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
Reply to: