[Resolu] bash root startup

VBrice · 05-11-2021 18:02:45

Bonjour,

Voila, j'ai fait un script bash qui nécessite d'être lancer à chaque démarrage en tant que root.

En tant que utilisateur, non root, je gére les "applications au démarrage " avec l'utilitaire de mate du même nom. Ce qui ne donne pas les droit root au script puisque c'est la session utilisateur.

(un "@reboot /home/utilisateur/Script/script.sh" dans crontab ne le fait pas lancer)

Mon script doit être placer dans un dossier spécifique j'imagine?

Dernière modification par VBrice (06-11-2021 16:17:09)

vv222 · 05-11-2021 18:23:52

La méthode avec le crontab est correcte. À condition que tu définisses bien ça comme une tâche système (sous /etc/cron.d/) et pas dans le crontab de ton utilisateur, sinon ce ne sera pas lancé par root.

Si tu regardes les fichiers existants sous /etc/cron.d/, je pense que tu comprendras rapidement comment ajouter le tien

VBrice · 05-11-2021 18:36:55

RE-bonjour,

En fait le script se lancer au démarrage, comme convenu avec crontab, mais il se lancer avant la session,
du coup, un petit

sleep 30

pour temporiser à résolut ce petit problème.

De plus, dans mon script, mon fichier log était créer dans le même répertoire que celui de mon script (vu que je lancé le script depuis le terminal dans le bon dossier).
Avec crontab, je ne voyais pas mon fichier log (car je ne sais pas depuis quel répertoire est vraiment lancé mon script avec crontab). En ajoutant le chemin absolu du fichier log dans mon script, il fut bien créé au bon endroit.

Du coup tous est rentré dans l'ordre

Merci en tous cas de m'avoir répondu

Dernière modification par VBrice (05-11-2021 18:45:04)

saitama-san · 05-11-2021 19:01:36

sinon, gérer les droits avec sudo

raleur · 05-11-2021 19:42:45

vv222 a écrit :

La méthode avec le crontab est correcte.

Non. Exécuter automatiquement en tant que root un script présent dans un répertoire utilisateur est une grosse faille de sécurité.

VBrice a écrit :

En fait le script se lancer au démarrage, comme convenu avec crontab, mais il se lancer avant la session

Evidemment. Le démarrage, c'est avant l'ouverture de session.

VBrice a écrit :

"sleep 30" pour temporiser à résolut ce petit problème.

Non. Ça ne marche pas si l'ouverture de session ne se fait pas dans les 30 secondes après le démarrage. Si tu veux lancer un script en tant que root à l'ouverture de session, une tâche cron n'est pas la bonne méthode. Il faut utiliser un mécanisme d'élévation de privilège sécurisée (par exemple sudo sans mot de passe pour ce script et lui seul) et ne pas mettre le script dans un endroit où un utilisateur normal peut écrire !

Dernière modification par raleur (05-11-2021 19:43:36)

vv222 · 05-11-2021 20:47:00

raleur a écrit :

vv222 a écrit :
La méthode avec le crontab est correcte.

Non. Exécuter automatiquement en tant que root un script présent dans un répertoire utilisateur est une grosse faille de sécurité.

Je ne répondais ici qu’à la demande initiale, pas à sa pertinence qui mérite en effet d’être discutée.

VBrice · 05-11-2021 22:02:58

raleur a écrit :

Ça ne marche pas si l'ouverture de session ne se fait pas dans les 30 secondes après le démarrage

Tout à fait d'accord.

raleur a écrit :

Il faut utiliser un mécanisme d'élévation de privilège sécurisée

Merci de m'informer des bonnes pratiques, c'est toujours bon d'en apprendre un peu plus.
Il faut éditer le fichier des sudoer?

Et si on gère les droits du fichier en lecture seul ça devrait suffire peut-être?

Dernière modification par VBrice (05-11-2021 22:33:32)

vv222 · 05-11-2021 23:12:50

Une bonne pratique à mon avis pour un script à destination exclusive de root c’est de le placer dans /usr/local/sbin, qui est un chemin dédié aux commandes spécifiques à la machine locale et au compte root.

raleur · 05-11-2021 23:12:51

VBrice a écrit :

Il faut éditer le fichier des sudoer?

Pour faire ce que tu demandes avec sudo, oui. Il faut le configurer pour que ton utilisateur (ou n'importe lequel) puisse exécuter le script et uniquement lui en root sans demande de mot de passe. Ensuite tu pourras configurer ta session pour exécuter le script avec sudo à l'ouverture.

VBrice a écrit :

Et si on gère les droits du fichier en lecture seul ça devrait suffire peut-être?

Sûrement pas. Tout utilisateur qui peut écrire dans le répertoire parent peut supprimer le fichier et le remplacer même s'il n'a pas la permission de modifier le fichier lui-même (sauf si le répertoire a le "sticky bit" comme /tmp, mais un répertoire utilisateur ne l'a pas par défaut).

Dernière modification par raleur (05-11-2021 23:14:27)

vv222 · 05-11-2021 23:14:15

raleur a écrit :

Tout utilisateur qui peut écrire dans le répertoire parent peut supprimer le fichier et le remplacer même s'il n'a pas la permission de modifier le fichier lui-même (sauf si le répertoire a le "sticky bit" comme /tmp, mais un répertoire utilisateur ne l'a pas par défaut).

On vient justement d’en avoir une démonstration ici : Fichier root dans $HOME/sous-dossier

VBrice · 06-11-2021 13:05:28

Re-bonjour,

Donc voilà, en suivant vos remarque:

- j'ai déplacer mon script dans "/usr/local/sbin",
- j'ai changé les permissions avec un

chmod 700 /usr/local/sbin/monscript

en tant que root pour retirer les droits aux utilisateurs et le rendre exécutable.
- modifié crontab pour lancer le fichier "@reboot /usr/local/sbin/monscript"

Est-ce suffisant niveau sécurité et bonne pratique?

Dernière modification par VBrice (06-11-2021 13:24:48)

vv222 · 06-11-2021 14:05:02

Un dernier point à vérifier est le propriétaire du script, qui devrait être root.

Tu peux t’en assurer avec :

chown -c root:root /usr/local/sbin/monscript

Le -c est uniquement là pour que les éventuelles modifications soient affichées dans ta console. Si rien ne s’affiche c’est que le propriétaire était déjà root.

VBrice · 06-11-2021 16:16:58

Oui, le propriétaire est déjà root car j'ai créer le fichier avec

touch monscript

directement. Rien n'est accessible depuis la session utilisateur (il ne peut pas visualiser le contenu du script ou l’exécuter)

Encore merci à tous

Dernière modification par VBrice (06-11-2021 16:51:09)

Debian-facile

#1 05-11-2021 18:02:45

[Resolu] bash root startup

#2 05-11-2021 18:23:52

Re : [Resolu] bash root startup

#3 05-11-2021 18:36:55

Re : [Resolu] bash root startup

#4 05-11-2021 19:01:36

Re : [Resolu] bash root startup

#5 05-11-2021 19:42:45

Re : [Resolu] bash root startup

#6 05-11-2021 20:47:00

Re : [Resolu] bash root startup

#7 05-11-2021 22:02:58

Re : [Resolu] bash root startup

#8 05-11-2021 23:12:50

Re : [Resolu] bash root startup

#9 05-11-2021 23:12:51

Re : [Resolu] bash root startup

#10 05-11-2021 23:14:15

Re : [Resolu] bash root startup

#11 06-11-2021 13:05:28

Re : [Resolu] bash root startup

#12 06-11-2021 14:05:02

Re : [Resolu] bash root startup

#13 06-11-2021 16:16:58

Re : [Resolu] bash root startup

Pied de page des forums