URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID9
Нить номер: 8793
[ Назад ]

Исходное сообщение
"скрипт + программа с setuid"
Отправлено microbash , 01-Июл-10 10:23

Добрый всем день!
Пишу следующую конструкцию:
есть скриптик на перл, работает из под непривилегированного юзера.
он должен в свою очередь вызвать скрипт с параметром, изменяющим правило в ipfw.
нашел по сайту, что это можно реализовать при помощи дополнительной проги на С.
вот что вышло:
#include <unistd.h>
main(int argc, char *argv[])
{
setuid(0);
setgid(0);
execl("/usr/local/etc/scripts/firewall/change_pop.sh","",argv[1],NULL);
return 0;
}

#change_pop.sh
#!/bin/sh
NEW_IP_ADR=$1
/usr/bin/sed "s|IP_ADR=0.0.0.0|IP_ADR=$NEW_IP_ADR|g" /usr/local/etc/scripts/firewall/ipfw-default.conf > /usr/local/etc/scripts/firewall/ipfw.conf
/usr/sbin/chown root:wheel /usr/local/etc/scripts/firewall/ipfw.conf
/bin/chmod 755 /usr/local/etc/scripts/firewall/ipfw.conf
/usr/local/etc/scripts/firewall/ipfw.conf > /dev/null 2>&1
(из заготовки делаю файлик с новыми правилами для фаервола и пытаюсь его выполнить), однако получаю
$ ./change_pop 10.10.10.10
chown: /usr/local/etc/scripts/firewall/ipfw.conf: Operation not permitted
тоесть, не выдались мне права рутовые...

Содержание

скрипт + программа с setuid,phpcoder, 11:21 , 01-Июл-10
- скрипт + программа с setuid,microbash, 15:00 , 01-Июл-10
скрипт + программа с setuid,Andrey Mitrofanov, 18:06 , 01-Июл-10
- скрипт + программа с setuid,allez, 20:58 , 01-Июл-10

Сообщения в этом обсуждении

"скрипт + программа с setuid"
Отправлено phpcoder , 01-Июл-10 11:21

>тоесть, не выдались мне права рутовые...
Вы SUID/SGID биты на бинарник поставили?
(Плюс код возврата ф-ций setuid()/setgid() нужно проверять.)

"скрипт + программа с setuid"
Отправлено microbash , 01-Июл-10 15:00

>>тоесть, не выдались мне права рутовые...
>
>Вы SUID/SGID биты на бинарник поставили?
>
>(Плюс код возврата ф-ций setuid()/setgid() нужно проверять.)
Угумс, выставил биты на бинарники - се заработало! )
СПА!

"скрипт + программа с setuid"
Отправлено Andrey Mitrofanov , 01-Июл-10 18:06

>вот что вышло:
>
>#include <unistd.h>
>main(int argc, char *argv[])
>{
>setuid(0);
>setgid(0);
>execl("/usr/local/etc/scripts/firewall/change_pop.sh","",argv[1],NULL);
Кстати, _почти %) такой бинарник у Вас в системе скорее всего(?) уже есть. С кучей достоинств (собирать не надо, при пересборке про биты setuid вспоминать, обновления безопасности "делают где надо") и одним небольшим недостатком - надо освоить "неочевидный" с первого взляда конфиг и страницу man существенно длинне этой фунции main() на неместном(?) языке.
2ALL: Товарищи, расскажем человеку, как этот "бинарник" называется или пусть помучается пока? :-D

"скрипт + программа с setuid"
Отправлено allez , 01-Июл-10 20:58

>Кстати, _почти %) такой бинарник у Вас в системе скорее всего(?) уже
>есть. С кучей достоинств (собирать не надо, при пересборке про биты
>setuid вспоминать, обновления безопасности "делают где надо") и одним небольшим недостатком
>- надо освоить "неочевидный" с первого взляда конфиг и страницу man
>существенно длинне этой фунции main() на неместном(?) языке.
>
>2ALL: Товарищи, расскажем человеку, как этот "бинарник" называется или пусть помучается пока?
>:-D
Это который на "s" начинается и на "o" заканчивается? :-)