Tom*_*ter 14 linux iptables suid
谁能帮我找出这里发生了什么?我有一些设置跟踪数据包计数的规则。当我以 root 身份运行以下脚本时:
#!/bin/bash
iptables -t mangle -xnvL
我得到我期望的输出:
//snip
233203 199929802 MARK //blah blah blah
//snip
但是,我想将它作为 cacti 的一部分运行,它作为 apache 运行。现在apache不能运行iptables,这就是我有脚本的原因。我将其设置为 SUID 根:
-rwsr-sr-x 1 root root 37 May 14 23:06 iptables_packet_report.sh
但是后来我得到了这个输出:
server # sudo -u apache ./iptables_packet_report.sh
iptables v1.4.2: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
显然我的内核很好,而且我以非 root 用户身份运行它的事实搞砸了一些事情,但我不明白为什么。我确实用 [演示]( http://en.wikipedia.org/wiki/Setuid#Demonstration )仔细检查了 SUID并确认它正在工作。
server # sudo -u apache ./printid
Real UID = 81
Effective UID = 0
Real GID = 81
Effective GID = 0
我的最终目标是在作为 apache 运行时获得 iptables -t mangle -xnvL 的输出,这样我就可以使用 cacti 很好地绘制它。
Chr*_*ian 16
不能将 SUID 根用于 shell 脚本。只有真正的程序才能成为 SUID 根,shell 脚本以“#!”开头 并且解释器将不得不运行 SUID 并且由于某种我不知道的原因而不起作用
看看 sudo 并安装它!编辑 /etc/sudoerrs,添加如下一行:
www-data ALL=NOPASSWD: /usr/local/sbin/iptables_packet_report.sh
然后就跑
sudo /usr/local/sbin/iptables_packet_report.sh
从你的代码。
然后它不应该要求输入密码,而是自动评估该过程。
我很确定如果您手动 su 进入 www-data 并手动运行它,您的错误消息也会发生
Tom*_*ter 13
正如 Christian 指出的,我的问题是我试图在 shell 脚本上使用 SUID。 正如这里所解释的,在shell 脚本上设置 SUID 是一个非常糟糕的主意:
在 UNIX 下执行 shell 脚本涉及两步过程:当内核确定要运行 shell 脚本时,它首先启动 shell 解释器的 SUID 副本,然后 shell 解释器开始执行 shell 脚本。因为这两个操作是分两步进行的,所以你可以在第一步之后中断内核,切换shell解释器即将执行的文件。通过这种方式,攻击者可以让计算机执行他或她选择的任何 shell 脚本
因此,许多现代 linux 发行版都忽略了 SUID shell 脚本,包括我使用的 gentoo。我能够编辑 sudoers 文件并使其正常工作。
| 归档时间: |
|
| 查看次数: |
6948 次 |
| 最近记录: |