[linux-l] SUID und sudo (was: Datum in Script verwenden)

[Volker Grabsch]

On Tue, Apr 10, 2007 at 05:54:25PM +1000, Peter Ross wrote:
> Vielleicht besser, ein ordentlich "wasserdichtes" (exec-freies) Binary zu 
> programmieren, um das Ziel Deines Skripts zu erreichen.
> 
> Es ist ja nicht so, dass Du mit einer Shell Zugriff auf Ressourcen 
> haettest, die Du nicht auch mit C-Programmen erreichen koenntest.

... aber ob ein C-Programm leichter wasserdicht zu machen ist als ein
Shellscript?

Dann doch lieber saubere Scriptsprachen wie Python, oder saubere
Compiler-Sprachen wie Ocaml. Natürlich sind auch die nicht per se
"wasserdicht", aber es ist sehr viel leichter, damit was Robustes zu
bauen.

Früher hat man Perl als "sauberes Shell-Script" verwendet. Viele
Projekte sind damit gut gefahren, solange sie es wirklich nur als
Shell-Ersatz verwenden. Heutzutage gibt's Python dafür, das ist
zudem auch für größere Programme, GUIs, etc. recht gut geeignet.

Auf C würde ich genauso wie beim Shell-Script nur im Notfall
zurückgreifen, z.B. wenn auf dem Zielsystem nichts anderes läuft
oder ich kein C++, Python oder sonstwas draufhauen kann.

> Und sudo.. ich moechte es am liebsten aus jedem System sofort entfernen. 
> Zumeist wird als allererstes fuer jeden die Bash erlaubt. Prima.. 

Die meisten tun das unwissentlich. Hab z.B. mal gesehen:
Erlaube alles außer reboot, halt, mount und umount.

Insbesondere ist also bash erlaubt, und dort kann man dann reboot
machen.

Ich glaube, man hätte sudo von vornherein nur Whitelist-Funktionalitäten
geben sollen. Blacklists in sudo zu bauen gaukelt ne falsche Sicherheit
vor. Sind die überhaupt zu irgendwas gut?

> Sudo kann vernuenftig verwendet werden, wird aber meistens nicht. Leider.

Gilt das nicht für jedes Werkzeug?  ;-)


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR