Discussion :

[Marcsup]

Bonjour à tous,

Au sein d'un script shell (que je dois réaliser dans un cadre pédagogique), j'ai besoin, avant d'en lancer l'exécution en boucle sur des noms de fichier, de déterminer la nature d'une commande qui a été passée en paramètre du script.
Cette commande, avec ses éventuelles paramètres, doit permettre de modifier les noms de fichier (par exemple 'tr a-z A-Z', pour mettre le noms en majuscule).
Or, pour sécuriser a minima mon script, je souhaiterais prendre quelque précautions sur cette commande.

J'ai pu tester si cette commande existait grâce à «which».
Grace à «type», je peux savoir s'il s'agit d'une primitive du shell, d'une commande externe etc.
Mais à ce stade, je ne sais pas comment faire pour m'assurer que cette commande va bien uniquement modifier des chaines de caractère (et donc réellement faire une modification de noms de fichier) et ne pas agir sur les fichiers (j'ai fait un test en lui passant 'rm' en paramètre, et aie ça marche ...)


Je vous remercie d'avance pour toute aide que vous pourriez m'apporter.

[disedorgue]

Bonjour,

Pour ma part, je ne connais pas de solution à ce problème, à part en créant à l'avance une liste de catégorie des commandes...

Sinon, pourrait-on avoir plus de précisions sur le besoin d'un tel script ?
Tu dis que c'est dans un but pédagogique, donc se serait pour que les commandes "dangereuses" ne soit pas executés ?
Et si, on s'arrangeait pour qu'elles ne soit pas vu et accessible sans modifier les droits de ces commandes, mais en créant un type d'utilisateur qui ne peut avoir acces qu'à des commandes bien déterminées ?

[Marcsup]

Oui, c'est dans un cadre pédagogique : je suis une formation professionnelle et ce script et un sorte de mini-projet à rendre. Le but du formateur est de nous montrer comment réaliser quelque chose de véritablement propre, en tenant compte des erreurs éventuelles d'utilisation, des interruptions éventuelles, cas particulier etc.

Je me suis aussi posé la question d'éventuellement créer une liste des commandes autorisées. Cette méthode à ses avantages mais peu manquer de souplesse et être moyennement portable dans les différents linux et unix. J'hésite.

Et si, on s'arrangeait pour qu'elles ne soit pas vu et accessible sans modifier les droits de ces commandes, mais en créant un type d'utilisateur qui ne peut avoir acces qu'à des commandes bien déterminées ?

Heu, je ne suis pas certain de comprendre, mais cela ne reviendrait-il pas à lister les commandes autorisées avec ce script ?

[LittleWhite]

Bonjour,

Pour faire de l'exécution de commande de manière sécurisée, alors que la commande est quelconque, moi, je mettrais en place un nouvel utilisateur avec des droits très limité et je me placerai dans un dossier /tmp/sandbox, avec aucun droit dessus.
Avec un sudo / su cela marchera, car la commande en question sera exécuté en tant que cet utilisateur limité qui n'aura accès qu'au strict minimum. De plus, on peut même lui limiter les commandes à un sous ensemble défini.

[gangsoleil]

Bonjour,

As-tu essaye de jouer avec les droits ? Pour renommer un fichier, tu n'as pas besoin des droits d'ecriture, alors que pour le modifier si.

Mais ca ne te permettra pas de savoir quel est le type de la commande passee.

Ceci dit, je veux bien connaitre l'idee de ton prof, car je ne vois pas comment il pourra faire pour distinguer un mv d'un rm. D'autant plus que le mv ne fait pas la meme chose si le dossier de destination est sur la meme partition ou sur une autre : un mv au sein d'une meme partition "deplace" le fichier, alors qu'un mv entre 2 partitions copie le fichier puis supprime l'ancien (regardez l'inode, ca se voit bien).

[Marcsup]

Je ne pense avoir le droit de créer un nouvel utilisateur : je dois rendre un script et rien d'autre. Certes, on peut créer des utilisateurs via un script; mais le but est de créer une nouvelle commande. Dans ce contexte, ajouter un utilisateur me parait une modification excessive de l'environnement ... quoi qu'on peut le supprimer à l'issu ? Je ne suis pas certain de réussir à maîtriser la chose (j'imagine qu'il faudrait un nom d'utilisateur aléatoire par exemple). À voir.

Pour mieux situer ce que je dois faire, le sujet se trouve à cette adresse :
http://www.ensta-paristech.fr/~joire...IN405-2013.pdf
Sachant qu'il nous a demandé de «blinder» au maximum ce script (en capturant entre autre les interruptions éventuelles de l'utilisateur).

(je ne souhaite pas pour l'instant avoir une solution toute faite, ce ne serait pas intéressant)

D'où le fait que je me pose la question de le manière de filtrer les commandes passées en argument, en essayant de n'être ni trop permissif, ni trop rigide.

PS : en même temps, j'avais mal fait mon script et il ne fonctionnait pas avec l'exemple du prof. Maintenant, ce cas nominal fonctionne et rm provoque une erreur. C'est déjà mieux lol