Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
SUID - un droit securisé. ATTENTION c'est pas cool !
Directement inspiré de :
http://www.ac-creteil.fr/reseaux/system … roits.html
Ce droit demande une connaissance préalable de tous les droits de bases, leur fonctionnnement, leur manipulation, ainsi que de la commande de listage ls.
Si vous ne comprenez pas cette litanie, revoyez les commandes CHMOD CHOWN LS et concert...
POURQUOI CE DROIT ?
Observez :
Exemple de fichier où SUID s'applique nécessairement :
sous root lister dans un terminal :ls -l /etc/shadow
-rw-r----- root root shadow
Les droits de réalisation (rw) dans le fichier shadow sont limités à u=root exclusivement.
et :ls -l /usr/bin/passwd
-rxsr-xr-x root root /usr/bin/passwd
SUID, en s'intégrant (rxS) dans le fichier intermédiaire passwd crée TEMPORAIREMENT la passerelle NÉCESSAIRE aux non-root pour modifier (avoir les droits : rw) le fichier shadow !
* SUID permet la réalisation (rw) d'une commande d'exécution (x) :
SANS les droits permanents nécessaires (rw)
à partir d'un utilisateur lambda (u = non-root par exemple...),
VIA un fichier d'utilisateur exclusif (u = root),
VERS un fichier de réalisation finale de propriété exclusive identique (u = root selon l'exemple...),
* Le droit SUID est un droit TEMPORAIRE de fichier.
* Il s'agit d'un dispositif de sécurité essentiel qui autorise un utilisateur (u = non-root) à bénéficier de droits plus étendus que les siens...
* Il fonctionne juste le temps et sous le contrôle de la commande sollicitée.
* Ce droit est noté symboliquement par s (sa valeur octale est 4000).
Dans la notation, il se met en lieu et place du x (celui-ci restant actif, en prenant celle du w au centre).
En fait, la notation de ce droit pour (u) seulement : rxs équivaut à rwx, ou 47-- = 7--.
De nouveau, observez :
sous root lister dans un terminal :ls -l /etc/shadow
-rw-r----- root root shadow
Ce qui indique toutes les limites de ce fichier (u = root). Sécurité maxi !
Puis, lister :ls -l /usr/bin/passwd
-rxsr-xr-x root root /usr/bin/passwd
Ici, le droit (x) sur le fichier passwd est accordé à tous les exécutants lambda.
De plus :
Le fichier passwd propriété de root, a accès de réalisation (rw) dans le fichier shadow, propriété root également.
Le positionnement du SUID permet à passwd d'utiliser les droits de réalisation root dans le fichier shadow pour poursuivre l'exécution de la commande (x), en la prenant à son compte !
[center]C't'un coquin... Majax enfoncé ![/center]
Exit l'utilisateur non-root initiateur de la commande (x) ! C'est root qui agit maintenant !
[center]Trop fort... Le coup d'la malle d'Houdini... Ouarf![/center]
Il est ainsi possible à tout exécutant non-root (ici de passwd)
d'agir (ici, de mettre à jour le fichier des mots de passe...)
dans un fichier en préservant la haute sécurité de celui-ci (ici c'est shadow),
dans le cadre UNIQUE de l'exécution d'une commande non autorisée au départ... CHAMPAGNE !
Pas de droits dangereusements permanents ! Sécurité préservée, santé assurée..!
Yô Melodie ? 
Edit :
Correction à jour 11/01/2209
As-tu le concret que tu demandes ? Prends en compte que nous entrons dans le domaine où c'est l'individu qui taille sa propre route, il faut connaître de la boussole, de l'altimètre et ses forces disponibles...
Sinon, que revoir dans ce tuto destiné au wiki DF ? A vos plumes, merci !
Amitié, Joel
Dernière modification par smolski (13-01-2009 14:50:36)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
le blog d'une newbie :: Linuxvillage :: Bentovillage
À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)
Hors ligne
))Hors ligne
C'est bon pour le teint paraît-il...Dernière modification par smolski (11-01-2009 05:57:37)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Dernière modification par smolski (11-01-2009 07:25:55)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
mais simplement pense un wiki de 500 ligne que tu copie dans le wiki tu vas avoir beaucoup plus de boulot a tout modifier qu a le rédiger directement .\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Dernière modification par smolski (11-01-2009 07:43:45)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Dernière modification par smolski (12-01-2009 13:35:33)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Si vous vouliez que votre lecteur de musique, puisse lire indifféremment des fichiers musicaux placés dans un répertoire vous appartenant, et aussi des fichiers musicaux appartenant à votre serveur web local, Apache, parce que vous aurez mis une partie de votre collection à disposition du réseau local, alors votre lecteur de musique, en l'état, n'aura pas les permissions pour lire les fichiers musicaux placés dans le répertoire appartenant à Apache. Pour qu'il en aie le droit, vous devrez mettre un bit suid sur le binaire de votre lecteur de musique. Si c'est de audacious qu'il s'agit, alors ce serait sur le binaire /usr/bin/audacious....
Il est bien évident que je ne comprends toujours rien au bit suid et à son usage, que cet exemple a des chances d'être totalement à côté de la plaque, c'est juste pour montrer comment un exemple, à mon sens, peut être parlant, pour amener les personnes à comprendre un sujet. Un exemple différent, est quand j'explique à des personnes ce qu'est un client web, un client mail etc... avec la comparaison client et serveur au restaurant, ou au café : et le logiciel qui peut tour à tour être client et serveur !
Du concret quoi ! Du concret que l'on peut relier à ce que l'on connaît déjà, dans la vie de tous les jours.
À peluches !
le blog d'une newbie :: Linuxvillage :: Bentovillage
À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)
Hors ligne
Désolée si je vous paraît ch***te
Pas d'problème nous fréquentons les mêmes modèles autours de nous... et en nous, s'pas ?
Perso, je te remercie de l'attention que tu portes à ce forum, plus particulièrement à l'éthique linuxienne que tu nous proposes. J'aime regarder, de relais en relais, vers le sommet des montagnes où je randonne...
Chacun à ses crayons, je cherche et je guette ici des solutions alternatives pour la rédaction du tuto SUID avec du concret comme indiqué par Melodie...
Amitié, à bientôt, Joel
Dernière modification par smolski (13-01-2009 14:54:55)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
le blog d'une newbie :: Linuxvillage :: Bentovillage
À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne