Permission Sur Ex

[Tof]

bonjour,

en root je peux utiliser ping -c 2 www.free.fr pour faire un ping.

en admin, groupe user, si je tape cette commande, je me retrouve avec un beau:

ping: permission denied. (are you root?)

j'ai regardé le lien /bin/ping (masque 777) qui renvoie sur /bin/busybox (masque 755, donc exécutable par tout le monde).

pourquoi limiter l'exécution d'une telle commande à root?

quel fichier décide de ces limitations?

peut-on changer cet état de chose?

ou bien ponctuellement, pour apache (lancé sous admin), peut-on l'autoriser?

si une âme charitable pouvait m'aiguiller, je ne sais plus trop où chercher.

[cricx]

bonjour,

en root je peux utiliser ping -c 2 www.free.fr pour faire un ping.

en admin, groupe user, si je tape cette commande, je me retrouve avec un beau:

ping: permission denied. (are you root?)

j'ai regardé le lien /bin/ping (masque 777) qui renvoie sur /bin/busybox (masque 755, donc exécutable par tout le monde).

pourquoi limiter l'exécution d'une telle commande à root?

quel fichier décide de ces limitations?

peut-on changer cet état de chose?

ou bien ponctuellement, pour apache (lancé sous admin), peut-on l'autoriser?

si une âme charitable pouvait m'aiguiller, je ne sais plus trop où chercher.

tu as la réponse à ta question dans... ta question ! ping est un lien sur busybox, qui est un unique exécutable comportant un paquet de commandes système. les droits ne peuvent donc pas être gérés pour chaque commande par le bit exécution (ce droit est global pousr toutes les comandes busybox).

Il y a cependant des solutions : donner le bit suid à busybox (mais c'est mal), ou utiliser sudo.

Je ne sais pas s'il existe (sudo) d'origine sur le syno.

[Tof]

>ce droit est global pousr toutes les comandes busybox

en dépit du masque de busybox donc. autrement reformulé, c'est compilé dans busybox et non modifiable.

/bin/df qui est aussi un lien sur busybox, par contre, lui peut-être exécuté par un user lambda.

j'essayerai de mettre à jour busybox pour voir les différences.

>Il y a cependant des solutions : donner le bit suid à busybox (mais c'est mal)

ah oui? mais ça marche effectivement

chmod +s /bin/busybox

>ou utiliser sudo. Je ne sais pas s'il existe (sudo) d'origine sur le syno.

sudo non.

su -c "ping -c 2 www.free.fr" lui aussi requiert d'être root (je vois pas trop son utilité alors)!

si suid sur busybox, ça roule

[cricx]

peut-être essayer : busybox ping adresse

[Tof]

peut-être essayer : busybox ping adresse

pas mieux, si pas de suid sur busybox. toujours permission denied.

[cricx]

pas mieux, si pas de suid sur busybox. toujours permission denied.

bon, il ne te reste plus qu'à installer ping (paquet iputils je crois) (et supprimer le lien ping->busybox (ou mettre le bit suid, pas recommandé en général et surtout dans le cas de busybox, car toutes les commandes implémentées dans busybox seront alors exécutées avec les droits de root, notamment rm, rmdir... ce qui veut dire que n'importe qui pourra effacer des répertoires ou fichiers système, et notamment apache, puisqu'il est lancé par admin. Il faut avoir confiance !)

[Tof]

j'ai essayé une version tiers de busybox (package busybox-base 1.1.3-3) mais ping est aussi protégé

>bon, il ne te reste plus qu'à installer ping (paquet iputils je crois)

package inetutils, ping est aussi protégé, mais un suid sur le fichier répond à mon besoin. merci

mais en quoi ping est-il aussi dangereux que ça, alors que fdisk ne l'est apparemment pas, puisque autorisé pour un user ??

[cricx]

sur un linux standard, fdisk n'est pas autorisé aux simples users.

possible que busybox implémente des accès différents selon les fonctions (les users peuvent visualiser la table de partition, mais pas l'écrire) mais risqué de vérifier !

pour ta question sur le côté dangeureux, lu dans le manuel :

ping requiert la capacité CAP_NET_RAWIO pour pouvoir être exécuté. Il peut être utilisé dans le mode set-uid root.

ce n'est pas une qustion de danger, mais d'accès direct au matériel (la carte réseau) en mode raw (écriture directe sur les ports de la carte)

En général, sous linux, l'accès au matériel n'est autorisé que pour root.

Pour ping, on le met en général suid (car pas trop de danger)