[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:45822] Re: suid したスクリプトからのscp ssh

From: SHIBATA Akira <shibata@xxxxxxxxxxxxxx>
Subject: [debian-users:45822] Re: suid したスクリプトからのscp ssh
Date: Mon, 6 Feb 2006 16:03:19 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-accept-language: ja,en
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-paa-antivirus: Passed
X-paa-antivirus-message: Scanned by http://www.pandasoftware.com/PAA
References: <20060201174848.0984.MASAKI@xxxxxxxxxxxx> <200602011803.FFF74994.BUBJICT@xxxxxxxxxxxxxx> <20060201191027.098B.MASAKI@xxxxxxxxxxxx>
Message-id: <200602061603.ADF28235.ICUJBTB@xxxxxxxxxxxxxx>
X-mail-count: 45822
X-mailer: Winbiff [Version 2.50]

柴田(あ)です。

中間報告です。
とりあえず、希望することは達成しました。
が、試したりあるべき状態にするなどを終えて
まとめを報告したいと思います。

<20060201191027.098B.MASAKI@xxxxxxxxxxxx> の、
   "[debian-users:45762] Re: suid したスクリプトからのscp ssh" において、
   "Wed, 1 Feb 2006 19:38:41 +0900" 発信のメイルで
   "Masaki Ikeda <masaki@xxxxxxxxxxxx>"さんは書きました：

> 池田＠オレンジです。
> 
> > 柴田(あ)です。
> 
> > スクリプトが setuid できないのは、承知しており、
> > perl だけはできると見つけて、今回はそのパッケージを
> > いれて使っております。
> 
> そうですか。
> 元のメールを良く読んでみたんですが（って今頃かぃ(^^;）perlのスクリプトは
> 
> #!/usr/bin/perl
> $ENV{PATH}="";
> system('/usr/bin/scp $FILE admin@$MSA:$DIR/');
> system('/usr/bin/ssh -l hoge REMOTE−SERVER sh /home/hoge/script/STEP3.sh');
> 
> これで全てなんでしょうか？

えぇ、これだけです。
転送して、リモートのスクリプトを実行するだけです。
変えているのはファイル名だけです。


> setuidすると、実効UIDは変わりますが、実UIDは変わりません。
> sshは、実効UIDではなく実UIDを見てるのではないでしょうか？

ということがわかりかけて途方にくれていたのでした。


> って事で、
> 
> #!/usr/bin/perl
> $<=$>;				←ココ追加
> すると良い・・・カモ
> 実UID（$<）を実効UID（$>）にセット

すばらしいです。
希望通りの動作になりました。


> ついでに言えば、
> -rwsr-xr-x  1 root staff 553 2006-02-01 11:16 /usr/local/bin/STEP2.general.pl
> というのもおかしい。
> root権限ではなく、hogeユーザの権限で実行したいのであれば、ownerをrootで
> はなくhogeにしとかないと・・・

確かにおかしいですね。
が、うまく動いちゃった（多分 hoge よりも
root 権限のほうが大きい権限だから？）ので、
権限をこれから締め付けていこうと思います。


これからの予定としては、
・斉藤さんのご指摘の「 HostBase 認証でやるパターンは試してない」ので、
  試してみたいです。
・土屋さんのご指摘の「  command="リモートで実行するコマンド" ssh-rsa ... 」
  はあるべき姿だと思いますので、いまの状態は仮の姿として移したいです。


また、仕組みとして root 権限で実行するスクリプトと
同じなので現在は root 権限で実行するスクリプトの
ラッパーとしてあります。
-r-x------  1 root staff /usr/local/bin/STEP2.sh 
という実行ファイルにして
-rwsr-xr-x  1 root staff  /usr/local/bin/STEP2.wrapper
というようにし、
#!/usr/bin/perl
$<=$>;
$ENV{PATH}=""; 
system('/usr/local/bin/STEP2.sh ');
というスクリプトにしました。


それでもって、 /usr/local/bin/STEP2.sh はというようにしました。
ひとつにまとめたのはメンテナンス性を考えたからです。
一般ユーザから root に suid して sudo -u hoge という
あたりがカナリ怪しいのですが、 6000 回ほどまわしても
問題がでないくらいなので、概ねいい感じです。

#! /bin/sh
FILE=/tmp/honyahonya
REMOTE-SERVER=www.example.jp
DIR=/tmp/queue
/usr/bin/sudo -u hoge /usr/bin/scp $FILE admin@$REMOTE-SERVER:$DIR/
/usr/bin/sudo -u hoge /usr/bin/ssh -l hoge $REMOTE-SERVER sh /home/hoge/script/STEP3.sh

# 実はリモートで動く /home/hoge/script/STEP3.sh は
# ルート権限で動くスクリプトをキックするための中身は
# sudo /usr/local/bin/STEP4.sh な変態スクリプトです (^^;
-- 
SHIBATA Akira      ケーブルテレビはまちづくり
shibata@xxxxxxxxxxxxxx   phone : +81-429-74-3611

References:
- [debian-users:45757] Re: suid したスクリプトからの scp ssh
  - From: Masaki Ikeda
- [debian-users:45759] Re: suid したスクリプトからのscp ssh
  - From: SHIBATA Akira
- [debian-users:45762] Re: suid したスクリプトからのscp ssh
  - From: Masaki Ikeda

Prev by Date: [debian-users:45821] Re: AIR-EDGE(AH-H407P)での接続について
Next by Date: [debian-users:45823] Re: AIR-EDGE(AH-H407P)での接続について
Previous by thread: [debian-users:45762] Re: suid したスクリプトからのscp ssh
Next by thread: [debian-users:45761] Re: suid したスクリプトからの scp ssh
Index(es):
- Date
- Thread