Forum d'entraide ! Posez vos questions ici
https://forums.archlinux.fr/
<user>.target et un dossier<user>.target.wants en 755 pour <user>. Ensuite, les user peuvent poser leurs services dans ce dossier .wants. Je répète, c'est ultra dangereux.Tout dépend comment est écrit le code C et quels services sont concernés... Bref si les choses sont bien faites il n'y a pas de souci.Cafeinoman a écrit :Cette méthode pose-t-elle des problèmes de sécurité?
Code : Tout sélectionner
#!/bin/bash
if systemctl | grep tomcat > /dev/null
then
close_tomcat=$(zenity --entry --text="Tomcat en fonctionnement. Eteindre le serveur (o/N)")
if [ "$close_tomcat"=="o" ]
then
systemctl stop tomcat8
exit
fi
firefox skynet:8080
else
systemctl start tomcat8
sleep 2
firefox skynet:8080
fi
exit
Code : Tout sélectionner
#include <unistd.h>
int main()
{
setuid(0);
system("/root/Scripts/TomcatStart.sh");
return 0;
}Code : Tout sélectionner
systemctl show --property=ActiveState tomcat8Code : Tout sélectionner
#!/bin/bash
if systemctl show --property=ActiveState tomcat8.service | grep -q active ; then
close_tomcat=$(zenity --entry --text="Tomcat en fonctionnement. Eteindre le serveur (o/N)")
if [ "$close_tomcat"=="o" ] ; then
#systemctl stop tomcat8
/root/Scripts/controlTomcat 0
else
firefox skynet:8080
fi
else
#systemctl start tomcat8
/root/Scripts/controlTomcat 1
sleep 2
firefox skynet:8080
fi
Code : Tout sélectionner
/root/Scripts/controlTomcatCode : Tout sélectionner
#include <unistd.h>
#include <stdio.h>
#include <string.h>
#define APP_UID 0
#define APP_GID 0
int main(int argc, char *argv[])
{
int r = 2;
if (argc != 2) {
return 2;
}
if (setgid(APP_GID) != 0)
{
perror("Fail to setgid");
return 3;
}
if (setuid(APP_UID) != 0)
{
perror("Fail to setuid");
return 4;
}
if (strcmp(argv[1], "0") == 0)
{
r = execl("/usr/bin/systemctl", "systemctl", "stop", "tomcat8.service", NULL);
}
else if (strcmp(argv[1], "1") == 0)
{
r = execl("/usr/bin/systemctl", "systemctl", "start", "tomcat8.service", NULL);
}
return r;
}
Code : Tout sélectionner
gcc -std=c89 -Wall -Wextra -O2 t.c -o controlTomcatCode : Tout sélectionner
# chown root:root controlTomcat
# chmod ug+s controlTomcat
Ok, j'oublie la fénaiantisebenjarobin a écrit :
. Par j'ai un soucis sur les droits : le script ne peux par lancer le binaire C, la permission est refusé... sachant qu'il est passé en root:root 705. Une erreur de ma part?Code : Tout sélectionner
chown root:root controlTomcat
chmod 555 controlTomcat
chmod ug+s controlTomcat
# Ou
chown root:root controlTomcat
chmod 6555 controlTomcatCode : Tout sélectionner
chown root:root tomcat.sh
chmod 755 tomcat.shCode : Tout sélectionner
chown root:root controlTomcat
chmod 6555 controlTomcatcontrolTomcat depuis une console en utilisateur ? Est ce que cela fonctionne correctement ?Code : Tout sélectionner
[francois@skynet Script]$ ./tomcat.sh
./tomcat.sh: ligne 8: /root/Scripts/controlTomcat: Permission non accordée
Code : Tout sélectionner
mount
stat /root/Scripts/controlTomcat
ls -l /root/Scripts/controlTomcat
LC_ALL=C /root/Scripts/controlTomcat 0; echo $?/root/Scripts/. Tu peux essayer de faire un ls -l /root/Scripts/ cela ne marchera pas.Code : Tout sélectionner
[francois@skynet ~]$ mount
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
sys on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
dev on /dev type devtmpfs (rw,nosuid,relatime,size=4044632k,nr_inodes=1011158,mode=755)
run on /run type tmpfs (rw,nosuid,nodev,relatime,mode=755)
/dev/mapper/arch_vg-root_lv on / type ext4 (rw,relatime,data=ordered)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/net_cls type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=22,pgrp=1,timeout=300,minproto=5,maxproto=5,direct)
debugfs on /sys/kernel/debug type debugfs (rw,relatime)
configfs on /sys/kernel/config type configfs (rw,relatime)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime)
mqueue on /dev/mqueue type mqueue (rw,relatime)
tmpfs on /tmp type tmpfs (rw)
/dev/sdb2 on /boot type ext2 (rw,relatime)
/dev/mapper/arch_vg-home_lv on /home type ext4 (rw,relatime,data=ordered)
/dev/mapper/arch_vg-var_lv on /var type ext4 (rw,relatime,data=ordered)
/dev/mapper/arch_vg-shared_lv on /home/shared type ext4 (rw,relatime,data=ordered)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=809584k,mode=700,uid=1000,gid=100)
fusectl on /sys/fs/fuse/connections type fusectl (rw,relatime)
gvfsd-fuse on /run/user/1000/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1000,group_id=100)
gvfsd-fuse on /root/.gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)
Code : Tout sélectionner
[francois@skynet ~]$ stat /root/Scripts/controlTomcat
stat: impossible d'évaluer « /root/Scripts/controlTomcat »: Permission non accordée
[francois@skynet ~]$ sudo stat /root/Scripts/controlTomcat
[sudo] password for root:
Fichier : « /root/Scripts/controlTomcat »
Taille : 7387 Blocs : 16 Blocs d'E/S : 4096 fichier
Périphérique : fe00h/65024d Inœud : 1057028 Liens : 1
Accès : (6555/-r-sr-sr-x) UID : ( 0/ root) GID : ( 0/ root)
Accès : 2014-06-22 19:08:04.706562484 +0000
Modif. : 2014-06-22 15:56:37.274914219 +0000
Changt : 2014-06-22 18:27:08.195566660 +0000
Créé : -
Code : Tout sélectionner
[francois@skynet ~]$ ls -l /root/Scripts/controlTomcat
ls: impossible d'accéder à /root/Scripts/controlTomcat: Permission non accordée
[francois@skynet ~]$ sudo ls -l /root/Scripts/controlTomcat
-r-sr-sr-x 1 root root 7387 22 juin 15:56 /root/Scripts/controlTomcat
Code : Tout sélectionner
[francois@skynet ~]$ LC_ALL=C /root/Scripts/controlTomcat 0
bash: /root/Scripts/controlTomcat: Permission non accordée
[francois@skynet ~]$ sudo LC_ALL=C /root/Scripts/controlTomcat 0
[francois@skynet ~]$ systemctl status tomcat8
● tomcat8.service - Tomcat 8 servlet container
Loaded: loaded (/usr/lib/systemd/system/tomcat8.service; disabled)
Active: inactive (dead)
[francois@skynet ~]$ sudo LC_ALL=C /root/Scripts/controlTomcat 1
[francois@skynet ~]$ systemctl status tomcat8
● tomcat8.service - Tomcat 8 servlet container
Loaded: loaded (/usr/lib/systemd/system/tomcat8.service; disabled)
Active: active (running) since dim. 2014-06-22 19:39:59 UTC; 2s ago
Process: 13061 ExecStart=/usr/bin/jsvc -Dcatalina.home=${CATALINA_HOME} -Dcatalina.base=${CATALINA_BASE} -Djava.io.tmpdir=/var/tmp/tomcat8/temp -cp /usr/share/java/commons-daemon.jar:/usr/share/java/eclipse-ecj.jar:${CATALINA_HOME}/bin/bootstrap.jar:${CATALINA_HOME}/bin/tomcat-juli.jar -user tomcat8 -java-home ${TOMCAT_JAVA_HOME} -pidfile /var/run/tomcat8.pid -errfile SYSLOG -outfile SYSLOG $CATALINA_OPTS org.apache.catalina.startup.Bootstrap (code=exited, status=0/SUCCESS)
Main PID: 13066 (jsvc)
CGroup: /system.slice/tomcat8.service
├─13064 jsvc.exec -Dcatalina.home=/usr/share/tomcat8 -Dcatalina.base=/usr/share/tomcat8 -Djava.io.tmpdir=/var/tmp/tomcat8/temp -cp /usr/share/ja...
├─13065 jsvc.exec -Dcatalina.home=/usr/share/tomcat8 -Dcatalina.base=/usr/share/tomcat8 -Djava.io.tmpdir=/var/tmp/tomcat8/temp -cp /usr/share/ja...
└─13066 jsvc.exec -Dcatalina.home=/usr/share/tomcat8 -Dcatalina.base=/usr/share/tomcat8 -Djava.io.tmpdir=/var/tmp/tomcat8/temp -cp /usr/share/ja...
C'est tellement évident que je ne pensais pas que tu aurais fait une telle chose... Et moi je n'ai pas réfléchi, je n'ai jamais fait mes tests dans /root, cela ne peut pas marcher. Uniquement root peut accéder à /root.Cafeinoman a écrit :C'est grave docteur?
Tu dois placer controlTomcat par exemple dans le même dossier que ./tomcat.shEuh, j'ai un doute je crois que c'est un peu normal que cela ne marche pas... Ton utilisateur ne peux pas aller dans /root/Scripts/. Tu peux essayer de faire un ls -l /root/Scripts/ cela ne marchera pas.
Tu dois placer impérativement controlTomcat dans un chemin accessible par l'utilisateur...