היי, כפי שידוע , באובנטו אין מצב שינה כברירת מחדל וצריך להריץ פקודה בשביל זה, אבל כ sudo.
אני יצרתי קובץ bash שכתוב שם sudo ואת הפקודה, וכל פעם אני מריץ את הפקודה ומזין סיסמא של sudo ושלום על ישראל.
מה שניסיתי לעשות עכשיו זה ליצור SGID לקובץ הזה עם הרשאות רק של הרצה וs ב group העברתי את הבעלות קבוצה ו owner של הקובץ ל root ושמתי לו sx בהרשאות קבוצה
ככה נראה הקובץ:

קוד:

-rwx--s--- 1 root root 25 ינו  2 00:22 sleepmode

אבל שאני מנסה להריץ אותו אני מקבל גישה נדחתה
למה?

קראתי בפוסט מ 2008 בלינוקספורומס שזה בוטל עקב סיבות אבטחה
מצד שני ראיתי פוסטים מ 2013/10 שאנשים עדיין משתמשים בזה
מישהו יכול להאיר את עיני?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

בנוסף המדריך שקראתי ציין את הרעיון הזה על passwd ושם זה עובד, וגם אני רואה את הקובץ בצבע שונה כאילו זה כן נתן משמעות

עריכה:
זה לא עובד גם עם s על ה user

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

s+ עובד על תוכנות, לא על סקריפטים. הסיבה לכך היא שבסקריפט התוכנה שרצה היא בעצם תוכנה אחרת - bash / tcsh וכו', אשר קוראות את הסקריפט, ומבצעות אותו. כשאתה מריץ את "sleepmode" אתה בעצם מריץ בצורה שקופה bash sleepmode.

כמובן ש passwd עובד משום שזו תוכנה, שהיא אחת מאלה שבשבילן הומצא הפטנט: הרי כמשתמש רגיל אינך יכול לערוך את קובץ הסיסמאות שאינו בבעלותך, אחרת כל משתמש יוכל לשנות סיסמה של כל משתמש אחר. passwd, שכחלק מהקוד שלה בודקת מי הריץ ושאכן מותר לו לשנות (על ידי ידיעת הסיסמה הישנה), משתמשת ב s+ כדי לאפשר למשתמש הרגיל גישה, שמוגבלת על ידה, לקובץ הסיסמאות. כנ"ל כל הכלים האחרים שמשנים מידע על המשתמש, כמו chsh וכדו'.

הפתרון: להרשות sudo ללא סיסמה (אני משער שהסיסמה זה מה שמטריד אותך) עבור פקודת ה sleep, ובתוך הסקריפט להריץ את הפקודה הרצויה שצריכה לרוץ כ-root עם sudo, ואז לא צריך להשתמש ב s+.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה על ההבחנה.
אז סתם ברמת הרעיון אם הייתי כותב תוכנית C ומקמפל אותה ועושה את אותו דבר זה היה פועל כן?

עבד הפיתרון שהצעת, רק להיות ברור את הקובץ שעליו נתתי את ההרשאת הרצת sudo בלי סיסמא אני צריך להשאיר על root כדי שלא יוכל להיערך ע"י אף אחד אחר כן?

שוב תודה על העזרה.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

כן, אבל אז אתה חושף את עצמך לצורך לאבטח אותה כי אתה בעצם יוצר תוכנה שכל משתמש יכול להריץ כ root, ואם אתה לא מבין בזה מספיק טוב...

בעלים וקבוצה שהם root וכמובן איסור הרשאת כתיבה למשתמשים אחרים לא לקובץ ולא לספריות שמעליו (!). הסיבה לכך שגם אם הקובץ לא בר שינוי על ידי הפורץ הפוטנציאלי, אם הספריות שמעליו כן, אז הוא בעצם כן. כי מה מפריע לו, לפורץ, לשנות את השם של הספריה שמעל קובץ זה וליצור ספריה חדשה בדיוק באותו שם, שבה קובץ עם שם כמו של שם הקובץ שלך, שאותו יריץ דרך sudo ויוכל לבצע מה שבא לו?

בשביל זה יש ספריות כמו usr/local/sbin/ ...

נ.ב. כמובן שבקובץ ההגדרה של sudo אתה גם נותן נתיב מלא מ / אל הקובץ...

נמאס לכם לזכור סיסמאות? לחצו כאן!

סליחה על המענה המאוחר, רק עכשיו שמתי לב שהגבת, תודה רבה על ההערה המחכימה .

שמתי את הנתיב המלא ושיניתי לsbin.


הנתיב המלא זה כדי שלא יצרו קובץ בתיקייה שקודמת ב PATH וככה יצליחו להפעיל קובץ אחר?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

כן, בייחוד כשהמשתמש (אותו אחד שיריץ את sudo) יכול לשנות את PATH. בהתאם לקונפיגורציה ב sudoers הרבה פעמים זה בכל מקרה לא יעבוד כי ה PATH יימחק בתוך sudo (בגלל הגדרת Defaults env_reset) - אבל לך תסמוך על זה. אם נתת נתיב מלא, אין ספקות...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה רבה

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו