Vous n'êtes pas identifié(e).
Pages : 1
Dernière modification par VBrice (06-11-2021 16:17:09)
Hors ligne
Hors ligne
pour temporiser à résolut ce petit problème.
De plus, dans mon script, mon fichier log était créer dans le même répertoire que celui de mon script (vu que je lancé le script depuis le terminal dans le bon dossier).
Avec crontab, je ne voyais pas mon fichier log (car je ne sais pas depuis quel répertoire est vraiment lancé mon script avec crontab). En ajoutant le chemin absolu du fichier log dans mon script, il fut bien créé au bon endroit.
Du coup tous est rentré dans l'ordre
Merci en tous cas de m'avoir répondu
Dernière modification par VBrice (05-11-2021 18:45:04)
Hors ligne
Hors ligne
La méthode avec le crontab est correcte.
Non. Exécuter automatiquement en tant que root un script présent dans un répertoire utilisateur est une grosse faille de sécurité.
En fait le script se lancer au démarrage, comme convenu avec crontab, mais il se lancer avant la session
Evidemment. Le démarrage, c'est avant l'ouverture de session.
"sleep 30" pour temporiser à résolut ce petit problème.
Non. Ça ne marche pas si l'ouverture de session ne se fait pas dans les 30 secondes après le démarrage. Si tu veux lancer un script en tant que root à l'ouverture de session, une tâche cron n'est pas la bonne méthode. Il faut utiliser un mécanisme d'élévation de privilège sécurisée (par exemple sudo sans mot de passe pour ce script et lui seul) et ne pas mettre le script dans un endroit où un utilisateur normal peut écrire !
Dernière modification par raleur (05-11-2021 19:43:36)
Il vaut mieux montrer que raconter.
Hors ligne
vv222 a écrit :La méthode avec le crontab est correcte.
Non. Exécuter automatiquement en tant que root un script présent dans un répertoire utilisateur est une grosse faille de sécurité.
Je ne répondais ici qu’à la demande initiale, pas à sa pertinence qui mérite en effet d’être discutée.
Hors ligne
Ça ne marche pas si l'ouverture de session ne se fait pas dans les 30 secondes après le démarrage
Tout à fait d'accord.
Il faut utiliser un mécanisme d'élévation de privilège sécurisée
Merci de m'informer des bonnes pratiques, c'est toujours bon d'en apprendre un peu plus.
Il faut éditer le fichier des sudoer?
Et si on gère les droits du fichier en lecture seul ça devrait suffire peut-être?
Dernière modification par VBrice (05-11-2021 22:33:32)
Hors ligne
Hors ligne
Il faut éditer le fichier des sudoer?
Pour faire ce que tu demandes avec sudo, oui. Il faut le configurer pour que ton utilisateur (ou n'importe lequel) puisse exécuter le script et uniquement lui en root sans demande de mot de passe. Ensuite tu pourras configurer ta session pour exécuter le script avec sudo à l'ouverture.
Et si on gère les droits du fichier en lecture seul ça devrait suffire peut-être?
Sûrement pas. Tout utilisateur qui peut écrire dans le répertoire parent peut supprimer le fichier et le remplacer même s'il n'a pas la permission de modifier le fichier lui-même (sauf si le répertoire a le "sticky bit" comme /tmp, mais un répertoire utilisateur ne l'a pas par défaut).
Dernière modification par raleur (05-11-2021 23:14:27)
Il vaut mieux montrer que raconter.
Hors ligne
Tout utilisateur qui peut écrire dans le répertoire parent peut supprimer le fichier et le remplacer même s'il n'a pas la permission de modifier le fichier lui-même (sauf si le répertoire a le "sticky bit" comme /tmp, mais un répertoire utilisateur ne l'a pas par défaut).
On vient justement d’en avoir une démonstration ici : Fichier root dans $HOME/sous-dossier
Hors ligne
en tant que root pour retirer les droits aux utilisateurs et le rendre exécutable.
- modifié crontab pour lancer le fichier "@reboot /usr/local/sbin/monscript"
Est-ce suffisant niveau sécurité et bonne pratique?
Dernière modification par VBrice (06-11-2021 13:24:48)
Hors ligne
Le -c est uniquement là pour que les éventuelles modifications soient affichées dans ta console. Si rien ne s’affiche c’est que le propriétaire était déjà root.
Hors ligne
directement. Rien n'est accessible depuis la session utilisateur (il ne peut pas visualiser le contenu du script ou l’exécuter)
Encore merci à tous
Dernière modification par VBrice (06-11-2021 16:51:09)
Hors ligne
Pages : 1