Discussion :

[Jibees]

Bonjour à tous
Je ne sais pas si ma question est bien placée, ni même si elle est intelligente (ce qui est plus embêtant ...)
Je souhaite créer un utilisateur qui n'aurait le droit d'exécuter qu'une seule commande. est-ce possible ? Cette commande serait qq chose du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
ifconfig eth0 | grep "inet ad" | cut -d ":" -f 2 | cut -d " " -f 1

Merci
jb

[gangsoleil]

Bonjour,

A ce que j'en sais, il n'est pas possible d'être si restreint que ca ! Par contre, si tu expliques un peu le pourquoi du comment, il existe peut-être une solution à laquelle tu n'as pas pensé (comme sudo par exemple).

[narmataru]

Si l'utilisateur n'a le droit de lancé qu'une seule commande, il n'aura pas d'interface graphique ni quoi que se soit d'autre car ce sont aussi des commandes. Si c'est celà que tu veux, mets l'ensemble de ta commande dans un fichier /usr/bin/macommande.sh et rend la exécutable 'chmod +x /usr/bin/macommande.sh'. Puis ouvre le fichier /etc/passwd et recherche la ligne de ton utilisateur. Remplace la dernière section (le lancement d'un shell normalement) par /usr/bin/macommande.sh. Ainsi, à chaque fois qu'il essayera de se loguer, la commande sera exécuté et il ne se connectera pas

[troumad]

narmataru : j'avais vu qu'il fallait avant définir ton script comme faisant parti des shell possible. À moins que ce ne soit uniquement pour les indiquer comme shell dans la commande adduser ?

[narmataru]

narmataru : j'avais vu qu'il fallait avant définir ton script comme faisant parti des shell possible. À moins que ce ne soit uniquement pour les indiquer comme shell dans la commande adduser ?

En modifiant directement le fichier /etc/passwd ça fonctionne
Je ne savais même pas qu'on pouvait définir une liste de shell utilisable. Comment fais-tu ?

[Hibou57]

En modifiant directement le fichier /etc/passwd ça fonctionne
Je ne savais même pas qu'on pouvait définir une liste de shell utilisable. Comment fais-tu ?

Je pense que s'il y a des systèmes ou c'est nécéssaire, alors ce sont des distributions très spéciales.... Parce qu'il suffit qu'un fichier ait l'attribut executable et les bons droits relativement à la cession en cours pour être executable.

Bon, en tous cas, ce n'est pas un init standard dans ce cas (parce qu'il n'y a que init qui aurait techniquement le moyen d'interdire l'execution d'un shell).

A moins qu'il n'y ait confusion avec un tout autre élément.

[troumad]

Voici la liste sous Mandriva Hangzhou ( http://forum.club.mandriva.com/viewt...cc866918dae7e6 , cooker dernier cri) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
[root@localhost][/etc]# cat shells 
/bin/sh
/bin/bash
/bin/ash
/bin/bsh

Sous debian etch :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[troumad@serveur][~]$ cat /etc/shells 
# /etc/shells: valid login shells
/bin/ash
/bin/csh
/bin/sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/bin/tcsh
/usr/bin/zsh
/bin/sash
/bin/zsh
/usr/bin/esh
/bin/dash
/bin/bash
/bin/rbash

[Hibou57]

C'est interessant ça Troumad

The shells file contains a list of login shells on the system. Applications use this file to determine whether a shell is valid. For each shell a single line should be present, consisting of the shell's path, relative to the root of the directory structure (/).

For example, this file is consulted by chsh to determine whether an unprivileged user may change the login shell for her own account. If the command name is not listed, the user will be denied of change.

It is a requirement for applications such as GDM which does not populate the face browser if it can't find /etc/shells, or FTP daemons which traditionally disallow access to users with shells not included in this file.

Donc c'est bien sous reserve qu'une applications fasse le control vis-à-vis de /etc/shells. Et il n'est pas difficile de contourner chsh ...

chsh - Changer le shell appelé à la connexion.

... vu que je n'ai jamais vu chsh null part encore... c'est la première fois que j'entend parler de /etc/shells ou de chsh.

Mais ça m'a l'air assez facile à contourner... isn't it ?

[Jibees]

Si c'est celà que tu veux, mets l'ensemble de ta commande dans un fichier /usr/bin/macommande.sh et rend la exécutable 'chmod +x /usr/bin/macommande.sh'. Puis ouvre le fichier /etc/passwd et recherche la ligne de ton utilisateur. Remplace la dernière section (le lancement d'un shell normalement) par /usr/bin/macommande.sh. Ainsi, à chaque fois qu'il essayera de se loguer, la commande sera exécuté et il ne se connectera pas

Je reviens vers vous, n'ayant toujours pas résolu le problème (j'ai fait d'autres choses entre temps quand même ...).
J'ai donc créé un utilisateur, un fichier .sh qui exécute une commande (le script fonctionne, il est bien executable, etc ...). Je me connecte sur mon serveur, me logue avec ce compte fictif et malheureusement, j'ai à peine le temps d'apercevoir "last login at ...." que la console efface tout et me propose de me loguer ... Soit je fais qqchose de mal, soit cette solution n'est pas fonctionnelle ...

[Jibees]

Je viens de m'apercevoir de ceci ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
[root@serveurDev sbin]# su mon_utilisateur_fictif
su: /usr/local/sbin/ifconfig.sh: Erreur de format pour exec()

Ceci alors que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
[root@serveurDev sbin]# ls -al /usr/local/sbin/ifconfig.sh
-rwxr-xr-x 1 mon_utilisateur_fictif mon_utilisateur_fictif 9 jan 31 11:15 /usr/local/sbin/ifconfig.sh

et que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
[root@serveurDev sbin]# cat /usr/local/sbin/ifconfig.sh
/sbin/ifconfig

[Celelibi]

Hibou57, je pense qu'il n'est pas possible de contourner la vérification de /etc/shells par chsh. Car le but final est d'écrire dans le fichier /etc/passwd, ce qui nécessite les droits root.

Il y a bien sûr moyen d'utiliser un autre shell en le lançant par le .bashrc (ou autre) mais là on n'a rien contourné du tout. (on a juste détourné la question)

[herzleid]

Une idée juste comme ça :
supprimer le path par defaut et en définir un comme :
PATH=/etc/fichier_de_path non accessible en ecriture
copier les qq commandes et les bibliothèque necessaire dans le répertoire indiqué dans /etc/fichier_de_path
et c'est tout.

En gros la méthode du chroot appliquée à quelques commandes de base :p

[Celelibi]

Ça n'empêchera pas l'utilisateur d'indiquer le chemin complet du binaire à exécuter, et d'exécuter n'importe quelle commande.

Cela dit, un vrai chroot n'est peut-être pas plus mal.