Discussion :

[phylopromisme]

Bonjour,
J'ai une page php sur mon raspberry qui lance un script avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	`/home/pi/Documents/gest_reseau/bloque.sh $ip $etat`;

ce script travaille sur l'iptable root :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/sbin/iptables -I OUTPUT -d $1 -j DROP

Le script devant donc avoir les droits root, j'ai fait un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
chown root:root bloque.sh
chmod +s  bloque.sh

J'ai cependant l'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root)

et effectivement, le code suivant dans le script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
echo "whoami" >> toto.txt
		whoami >> toto.txt
		echo "who am i" >>  toto.txt
		who am i >>  toto.txt

cat toto.txt me donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
whoami
www-data
who am i

que je ne comprends pas. Que dois-je faire ?
Merci d'avance

[jlliagre]

Le suid de root affecté sur un script n'est pas pris en compte sous linux car cette approche présente des failles de sécurité.

La méthode la plus simple pour contourner ce problème consiste à utiliser sudo.

[phylopromisme]

bonjour et merci pour la réponse.
sudo dans un script me demande le mot de passe administrateur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo: no tty present and no askpass program specified

De quel programme s'agit-il ?

[papajoker]

bonjour,

php(www-data) n'a pas les droits root ! il faut donc donner les bons droits à www-data dans sudoers avec ce script shell (ou la commande iptables)

[phylopromisme]

ok merci

[BufferBob]

salut,

Le suid de root affecté sur un script n'est pas pris en compte sous linux car cette approche présente des failles de sécurité.

accessoirement c'est aussi parcequ'un script n'est pas "exécuté" (droit x) mais "lu" (droit r) par l’interpréteur, pour que ça ait une chance de fonctionner il faudrait que ce soit l'interpréteur qui ait des droits root de manière à pouvoir déléguer les privilèges lors de l'exécution du script, c'est valable pour php, perl, bash etc. donc

[jlliagre]

Ce n'est pas une impossibilité intrinsèque liée à la méthode car ce n'est pas le shell mais bien le noyau qui ouvre en premier le shell script lors de l'exec.

Il serait tout à fait possible pour le noyau de lancer l'interpréteur avec le seuid bit de root si les développeurs de Linux et du shell utilisé décidaient de supporter cette fonctionnalité, mais ce n'est pas leur choix. D'autres combinaisons OS/shell ne présentent pas cette limitation.