jak na prava pro spusteni ADDUSER

[Vlada Macek]

>Zdravim, delam skripty na pridavani uzivatele pres www rozhrani. ...
>problem je v tom, ze na adduser musim mit prava roota. ...
>  
>
Hezky den,

pisu sem trochu pozde, docitam konferu po dovolene. :-) Co se tyce
jakehokoli vyvolavani prikazu s nejvyssimi pravy z neceho, co je primo
na webu, tak bych byl zatracene opatrny. Jednou treba blbe nastavite
webserver, na webu se zobrazi zdrojaky PHP skriptu a bude jasne, jak se
dostavate na roota. Kdyz bych neco takoveho musel implementovat ja (a
potrebnost takovehoto reseni -- web -> adduser -- bych si taky poradne
promyslel), implementoval bych to zrejme pres nejaky spoolfile prip.
vlastni spooldir.

Tedy PHP skript by byl uplne blby a pouze by prevzal pozadavek a zapsal
ho do nejakeho domluveneho souboru a nemel by zadna vyssi prava. Tento
spool by se periodicky kontroloval necim mocnym v pozadi (muzete vyuzit
i notifikacniho hooku na zmenu adresare) a pri nalezeni noveho pozadavku
by se provedl peclivy audit, jestli jde o pozadavek v souladu s
pravidly, podezrely pozadavek, prilis casty pozadavek. Tato kontrola ma
tu vyhodu, ze je skryta a zcela neovlivnitelna z webu.

Nechat si cokoli menit na serveru s pravy roota primo z webu povazuju za
koledovani si o velky problemy. A nemusi se vzdycky jednat jen o spatny
zamer.

VM

------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: OpenPGP digital signature
URL: <http://www.linux.cz/pipermail/linux/attachments/20040619/1aec4940/attachment.sig>