Souboj s pravy na Suse enterprise serveru 9 pri pouziti cronu.
Martin Špirk
martin.konference na seznam.cz
Pátek Červen 24 10:51:39 CEST 2005
Dne pá 24. června 2005 10:30 Jan Kovář napsal(a):
> Dobry den.
> Tak si mi prave stezoval kolega - Oracle admin, jak ma ted jeden server s
> Oraclem na Linuxu a zhodnotil to tak, ze driv sice nadaval na Windows, ale
> to co zaziva s Linuxem, z toho mu padaji zbytky vlasu. :-) Ma tam SLES9 a
> popsal zajimavy problem:
>
> Prihlasi se jako uzivatel oracle. Vytvori script kdo_jsem.sh, kde je jen
> vypis whoami do textoveho souboru. Nastavi opravneni, vlastnikem je
> uzivatel oracle. Kdyz ho spusti, v tom souboru najde uzivatele oracle a
> vlastnikem toho textaku je taky uzivatel oracle. Nasleduje crontab -e, tam
> hodi cestu na ten "script" kdo_jsem.sh a ejhle, uz je tam uzivatel root a
> vlastnikem toho textaku je taky root. Divne, ne?
Mandrake ma nejakeho demona (tusim msec), ktery v zavislosti na konfiguraci
prochazi nektere adresare a nastavuje tam predem dane vlastniky a prava
souboru. Mozna bude mit SLES neco podobneho - melo by to byt k nalezeni v
Yastu nekde kolem bezpecnosti.
> Puvodne totiz delal nejaky script na zalohovani Oracle db a vytvorilo mu to
> log, jehoz vlasnikem byl root. -rw-r--r-- 1 root root 50505 backup.log
>
> Ovsem kdyz jako uzivatel oracle udelal: rm backup.log, tak system zahlasil:
>
> rm: remove write-protected regular file 'backup.log'? y
To je normalni UNIXove chovani, uzivatel muze mazat cizi soubory v adresari do
ktereho ma pravo zapisu. Chcete-li toto chovani zmenit, je treba nastavit
t-bit na adresari
chmod +t /adresar
potom pujde mazat jen vlastni soubory.
Martin
Další informace o konferenci Linux