bash suid

[hon]

Как разрешить bash скрипту выполнение от имени суперпользователя? Почитав веб, понял, что ядро не позволяет скриптам SUID, из-за проблем безопасности. Но должен же быть какой-то способ запустить скрипт с SUID.

[Peter_I]

Первое, что подумал - сделать suid'ную копию bash с другим именем,
например, bash_s и запускать им: "bash_s имя_скрипта".

[hon]

Не работает. Почему я не могу запустить копию bash?

Код: [Выделить]

[42]user@comp:/tmp/mytemp$ ls -al
итого 1176
drwxrwxr-x  2 user user   4096 Мар 23 15:43 .
drwxrwxrwt 18 root root 229376 Мар 23 15:41 ..
-rwsr-xr--  1 root root 959120 Мар 23 15:42 bash
-rwsr-xr--  1 root root     21 Мар 23 15:43 script.bash
[43]user@comp:/tmp/mytemp$ ./bash script.bash
bash: ./bash: Отказано в доступе
[44]user@comp:/tmp/mytemp$ cat script.bash
echo $UID
echo $EUID
[45]user@comp:/tmp/mytemp$


[Peter_I]

Действительно, не работает. Даже если установить на bash_s оба бита:
chmod 6755 bash_s
и внести его в группу users, в которую у меня входит пользователь,
то не работает. И даже если собственником скрипта в каталоге пользователя
сделать root, то и при этом не работает. Т.е. bash_s, принадлежащий root,
не может запустить с правами root принадлежащий root скрипт, если его
запускает пользователь.
Пока не знаю, в чём дело.

Кстати, можно либо в 1-й строке этого скрипта написать
#!/bin/bash_s
и запускать его просто, как любой исполнимый,
либо вообще убрать эту строку, т.к при запуске файла
с последовательностью команд способом
bash имя_файла
она не нужна.
Пользователь решил продолжить мысль 23 Марта 2014, 19:56:45:Не может запустить - я неправильно выразился. Я имел в виду,
что не может выполнить команды в скрипте или файле,
требующих прав root.

[hon]

Я не могу даже bash запустить:

Код: [Выделить]

user@comp:/tmp/mytemp$ ls -al
итого 1176
drwxrwxr-x  2 user user   4096 Мар 23 18:26 .
drwxrwxrwt 19 root root 229376 Мар 23 18:25 ..
-rwsr-xr--  1 root root 959120 Мар 23 15:42 bash
-rwsr-xr--  1 root root     28 Мар 23 18:25 script.bash
user@comp:/tmp/mytemp$ cat script.bash
#!bash
echo $UID
echo $EUID
user@comp:/tmp/mytemp$ ./bash
bash: ./bash: Отказано в доступе
Если разрешить запуск всем, то все равно:

Код: [Выделить]

user@comp:/tmp/mytemp$ sudo chmod +x * && ls -al
итого 1176
drwxrwxr-x  2 user user   4096 Мар 23 18:26 .
drwxrwxrwt 19 root root 229376 Мар 23 18:28 ..
-rwsr-xr-x  1 root root 959120 Мар 23 15:42 bash
-rwsr-xr-x  1 root root     28 Мар 23 18:25 script.bash
user@comp:/tmp/mytemp$ ./bash
bash-4.2$ whoami
user
bash-4.2$ exit
exit
user@comp:/tmp/mytemp$


[Azure]

Может Вы подробно объясните цель всего действа (наверняка есть более простой способ достичь желаемого результата…)

[hon]

Цель: иногда нужно писать скрипты, которые поработают и выключат компьютер. Можно запускать их через sudo, но тогда опасность каждой ошибки в скрипте возрастет.
Решил сделать два скрипта: один принадлежит суперпользователю с SUID, который просто выполняет poweroff.
Другой — выполняет нужные мне действия и в конце запускает скрипт с SUID.

Меня больше интересует способ решить проблему, а почему эта проблема происходит. Почему я не могу запустить копию bash, на которой стоит SUID?

[JmAbuDabi]

Так есть же команды выключающие компьютер без судо. Они некрасивые(длинные просто), но все же есть.
Пользователь решил продолжить мысль 23 Марта 2014, 20:47:47:Можно например в одном скрипте запустить два паралельных процесса, второй будет проверять наличие второго в списке процесов каждую минуту.

Типа вот так:

Код: [Выделить]

Создали файл приманку
sudo sh scriptPower.sh &
Действия от имени пользователя.

По окончанию удалил файл приманку.

В scriptPower.sh

пишем типа такого:

Код: [Выделить]

sudo shutdown -h 10 &
if [ Файл приманка есть?]
    shutdown -c
    shutdown -h 10 &
    sleep 1m
fi
После исполнение скрипта, комьютер выключится через 10 минут, после срабатывания скрипта полностью.

[Azure]

Что в ней длинного и/или некрасивого?

Код: [Выделить]

gnome-session-quit --power-off --no-promptПросто Вы эту имели ввиду

Код: [Выделить]

dbus-send --system --print-reply --dest="org.freedesktop.ConsoleKit" /org/freedesktop/ConsoleKit/Manager org.freedesktop.ConsoleKit.Manager.Stop

[JmAbuDabi]

Что в ней длинного и/или некрасивого?

Код: [Выделить]

gnome-session-quit --power-off --no-promptПросто Вы эту имели ввиду

Код: [Выделить]

dbus-send --system --print-reply --dest="org.freedesktop.ConsoleKit" /org/freedesktop/ConsoleKit/Manager org.freedesktop.ConsoleKit.Manager.Stop

Просто длинная и не запомнишь с первого раза)

[hon]

Они будут работать на Ubuntu Server без графики?

[Azure]

Так разрешите выключать комп без пароля через /etc/sudoers

[hon]

Azure, cпасибо за sudoers.