Je suis tombé aujourd'hui sur un sujet d'examen (qui date d'un an), simple au demeurant, mais l'une des questions me semble tout simplement insoluble. Le problème supplémentaire étant que les questions s'enchaînent, ce qui fait que je suis obligé de retranscrire l'ensemble de cet exercice ici.
Le sujet commence par un conseil qui précise qu'il est important de procéder pas à pas, et enchaîne avec une description qui est la suivante:
Description de la racine:
drwxrwx--- 4 root APPLI 96 sep 3 2004 app
drwxrwx--- 4 root USERS 96 sep 3 2004 usr
Description "utile" du répertoire app:
drwxrwx--- 4 root APPLI 96 sep 3 2004 app1Description du répertoire app1:
-rwxrwx--- 1 root APPLI 252 sep 3 2001 test
-rwxrwx--- 1 root APPLI 248 sep 3 2001 pgm_op
Description de /usr:
drwxrwx--- 4 root USERS 1024 sep 3 2004 user1
drwxrwx--- 4 root USERS 1024 sep 3 2004 user2La suite explique que ces répertoires représentent les répertoires home des utilisateurs concernés (user1 et user2).
Les questions qui suivent sont simplistes ("quelle commande permet de lister un répertoire ?", ...) et la seul chose à retenir est que le groupe principal des deux utilisateurs est USERS.
User1 souhaite exécuter le programme "test" sans avoir à entrer l'intégralité de l'arbo, c'est à dire en entrant simplement le mot "test". Pour l'instant, Linux dit à user1, qui se trouve dans son home, qu'il ne trouve pas la commande. Vous êtes l'utilisateur root.
*) Comment allez-vous modifier dans un premier temps et sans toucher aux droits sur les fichiers/répertoires, l'environnement de l'utilisateur user1 pour qu'il puisse accéder à ce programme sans en saisir le chemin ?
J'imagine qu'il s'agit ici d'un changement du path (les rédacteurs du sujet on t'il conscience que "test" existe déjà ?) : PATH=/app/app1/:$PATH
*) Cette modification sera-t-elle aussi valide pour le programme pgm_op ?
En effet, ça resterait logique...
Vous venez de modifier l'environnement de user1, mais user1, lorsqu'il tape "test" se voit signifier que l'accès à test est interdit. Même chose pour "pgm_op".
*) Comment, sans toucher aux droits d'un quelconque fichier, donner le droit d'accès à test pour l'utilisateur user1 ?
Au vu des droits sur le répertoire, ajouter l'utilisateur user1 au groupe APPLI devrait faire l'affaire.
L'utilisateur user1 a maintenant le droit d'accéder à "test" et à "pgm_op", mais Linux dit à user1 qu'il ne peut executer aucun des programmes lorsqu'il tape "test" ou "pgm_op". Par ailleurs, user1 vous demande de pouvoir effacer le programme test et de pouvoir lancer le programme "pgm_op". De votre côté, vous ne souhaitez pas que l'utilisateur puisse effacer le programme "pgm_op".
*) Comment allez-vous modifier les droits des programmes ou de certains répertoires (ou les deux) pour satisfaire à la fois la demande de l'utilisateur user1 et vos propres exigences
C'est là que ca coince ! Ok pour les droits "x" manquants sur les fichiers, mais sachant que pour moi, l'effacement dépend uniquement des droits sur le répertoire "app1", je vois mal comment il est possible de se débrouiller pour qu'un seul des deux fichiers de ce répertoire soit effacable par user1.
La question suivante (qui est peut être un indice ?) demande si la modification apportée à cette question fait que user2 est toujours interdit d'exécution sur "test" et "pgm_op".
En ce qui me concerne (j'y ai pas passé des heures non plus), j'ai du mal à trouver une réponse simple à ce problème :) Et vous ?
# Peut-être une clownerie
Posté par Gyro Gearllose . Évalué à 2.
Ou alors du côté des attributs étendus ?
Je dis ça sans savoir, je n'ai que survolé ton message, et je donne ça de mémoire, pour y avoir regardé autrefois, sans grande conviction...
[^] # Re: Peut-être une clownerie
Posté par Sixel . Évalué à 3.
Voir :
http://en.wikipedia.org/wiki/Access_control_list
http://fr.wikipedia.org/wiki/Access_Control_List
"Il faut" (Ezekiel 18:4) "forniquer" (Corinthiens 6:9, 10) "avec des chiens" (Thessaloniciens 1:6-9) "morts" (Timothée 3:1-10).
# Sticky bit
Posté par Obsidian . Évalué à 5.
As-tu pensé à regarder du coté du sticky bit ?
chmod +t
[^] # Re: Sticky bit
Posté par Xfennec (site web personnel) . Évalué à 3.
Bravo !
[^] # Re: Sticky bit
Posté par stef . Évalué à 2.
[^] # Re: Sticky bit
Posté par Xfennec (site web personnel) . Évalué à 3.
[^] # Re: Sticky bit
Posté par _seb_ . Évalué à 1.
# Et sudo
Posté par Stephane Autret . Évalué à 2.
[^] # Re: Et sudo
Posté par Unchabin . Évalué à 3.
[^] # Re: Et sudo
Posté par Obsidian . Évalué à 2.
# noexec et sticky bit..
Posté par Dabowl_92 . Évalué à 1.
Si ce même utilisateur ne peut exécuter aucun programme, c'est que le programme qu'il cherche à exécuter se trouve sur un système de fichier monté en "noexec"....en tapant la commande "mount" tout court, on voit rapidement là où ça coince...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.