Discussion :

[jfox]

Bonjour,

Est-il possible de demander la saisie du mot de passe root à l'exécution d'un script (sans passer par su - root) et si oui, comment?
Merci.

[paissad]

Bonjour,
je ne vois pas pourquoi tu voudrais entrer le mot de passe root sans voir te te mettre sur le compte root ^_^
Autrement dit, je pense que tu devrais juste exécuter ton script avec les droits nécessaires dès le départ, ... ou bien utiliser su user_name -c "command" pour taper la commande avec l'utilisateur voulu, ... ou bien lancer ton script avec un user "normal" sans droits root par exemple et à qui il serait demandé d'entrer le mot de passe s'il veut exécuter une commande où il n'a pas les droits suffisants
Pour faire bien, il serait surtout mieux que tu dises en quoi tu veux te passer de su - root et pour quelles raisons.
Cordialement,

[Obsidian]

Tout-à-fait d'accord avec Paissad : je ne vois aucun cas valable où une application utilisateur devrait elle-même inviter l'utilisateur à entrer le mot de passe root. C'est à éviter pour au moins deux raisons :

1. Il est tout-à-fait possible que, sans être root, l'utilisateur dispose quand même des droits nécessaires pour faire ce que tu veux faire ;
2. Il ne faut surtout pas donner l'habitude à l'utilisateur d'entrer son mot de passe à chaque fois qu'on lui demande. Il faut qu'il le fasse en connaissance de cause et via un système distinct. Sinon, n'importe qui pourrait faire une application qui lui demande explicitement d'entrer son mot de passe pour aller provoquer des dégâts à côté. L'utilisateur l'entrerait quand même. Et s'il ne le fait pas, la même application malveillante peut surveiller d'autres applications qui se comportent de la même façon.

Donc, en effet, dis-nous ce que tu cherches à faire au final.

[jack-ft]

Tout-à-fait d'accord avec Paissad : je ne vois aucun cas valable où une application utilisateur devrait elle-même inviter l'utilisateur à entrer le mot de passe root.

Ah ben si! Pour écrire un programme de phishing, c'est nécessaire!

[jfox]

Bonjour,

tout d'abord, merci pour vos réponses.
Maintenant, je vais essayer de clarifier ma demande. On est en train de développer un menu d'exploitation qui ne serait accessible qu'à root et un autre user. Comme il s'agit de commandes très sensibles sur une base de données en production, il nous est demandé d'ajouter une vérification du mot de passe pour être sûr que la personne qui lance une opération fait bien partie du groupe autorisé pour ce genre de manip'. Donc soit root soit le user (ce que je n'avais pas précisé au début).
Si redemander le mot de passe du root/user est impossible, peut-être que nous pouvons passer par un autre mot de passe hashé en md5 (ou autre)?
Créer un autre groupe et user (sans échange de clés publique / privée) ne me semble pas possible car les opérations sur la base nécessitent des autorisations - de connexion notamment - qu'il nous sera impossible de donner car sortant des impératifs de créations des users.
J'espère avoir été plus clair.

[ok.Idriss]

Bonsoir.

Donc si j'ai bien compris (pas sûr ça), tu veux instaurer une sécurité du script car celui-ci effectue des opérations sensibles en base et cela indépendamment des droits des users systèmes ?

Pourquoi, dans ce cas, ne pas simplement demander de saisir le mot de passe nécéssaire à la connexion à la DB (à moins qu'il n'y en ai pas) ?

Sinon avec md5sum, tu peux toujours bidouiller pour avoir un mot de passe fictif ...

Cordialement,
Idriss