Hallo zusammen,
ich bin gerade dabei ein CGI-Script zu schreiben, das /root-Rechte hat. Und bevor ich einfach mal so drauf los code, möchte ich bei Euch mal anfragen, wie man so etwas am besten und vor allem elegantesten realisiert? Es gab doch so etwas wie "sperl" oder so? In Debian-Linux heist das Packet perl-suid und bringt gleich einen eigenen Perl-Compiler mit. Nur wie spricht man den an?
oder, mit einem Modul? Worauf muss man noch achten, denn daß das eine heikle Sache ist, ist mir wohl bekannt.

Vorgestellt habe ich mir das so, es gibt eine statische HTML-Seite, in die ich einige Parameter eingebe, und die beim abschicken ein Perl-Skript aufruft (oder besser mod_perl?) welches dann mit einem System-Call ein Shell-Skript aufruft und die Parameter übergibt.

Gruss Christian

imho währe es ein besserer ansatz, das cgi script ganz normal zu coden, und nur den teil, der root-rechte braucht, in ein anderes script auszulagern, dass über die unix-dateiattribute mit root-rechten ausgeführt wird. dieses unabhängige script sollte dann die eingabewerte selbst sehr genau prüfen.

Ja, aber das Problem ist doch, wenn ich dieses Skript Web-Seitig aus aufrufe, dann mit einer anderen User-ID als der von /root (also bei Debian wäre das z.B. www-data). Es nützt ja nichts, wenn das Skript alle möglichen Rechte hat, es muß die richtige uid haben!

Gruss Christian

die dienste startet der apache als wwwrun. du musst also im apache einstellen, unter welchem user er die scripte starten soll.

[quote=pug,08.03.2006, 16:14]Ja, aber das Problem ist doch, wenn ich dieses Skript Web-Seitig aus aufrufe, dann mit einer anderen User-ID als der von /root (also bei Debian wäre das z.B. www-data). Es nützt ja nichts, wenn das Skript alle möglichen Rechte hat, es muß die richtige uid haben!

Gruss Christian[/quote]Hm, setuid-Programme haben normalerweise nur die euid auf 0 gesetzt. Die reale UID ist immer noch die des aufrufenden Prozesses. (Ich weiss nicht, ob das bei suidperl ebenso ist.) Hilft Dir das?

Ich wuerde das vielleicht so machen, dass das eigentliche Programm, wie von irgendwem oben vorgeschlagen wurde, kein CGI-Skript ist sondern nur von einem solchen aufgerufen wird. Das Programm bekommt dann den Benutzer root, die Gruppe www-data und den Mode 4454 (set-uid und nur group-executable)

Uebrigens hat auch Apache ein Setuid-Modul. Es ist aber sehr restriktiv und fordert z. B., dass die Skripte in einem Unterverzeichnis des Home-Verzeichnisses liegen (in diesem Fall also /root)\n\n

<!--EDIT|betterworld|1141837846-->

Bleibt nur die Frage, wie ich das mache. Wenn ich das Script als Eigner und als Gruppe /root übergebe, führt er es als www-data nicht aus. Irgendwo brauche ich eine Schnittstelle um mich als /root zu tarnen.

Gruss Christian

[quote=pug,08.03.2006, 18:13]Bleibt nur die Frage, wie ich das mache. Wenn ich das Script als Eigner und als Gruppe /root übergebe, führt er es als www-data nicht aus. Irgendwo brauche ich eine Schnittstelle um mich als /root zu tarnen.[/quote]
Ein Wrapperskript, das nur das suid-Programm aufruft, könnte helfen.
Evtl. gibt es eine Apache-Option, um root-Skripte zu erlauben?

wrapper.c:

$ # als root
$ gcc -o wrapper.cgi wrapper.c
$ chmod u+xs wrapper.cgi
das perl-script wird dann im taint-modus ausgeführt, siehe perldoc perlsec\n\n

<!--EDIT|pq|1141848248-->

pq: Wird bei einem execv(e) nicht die euid auf die uid gesetzt, falls das auszufuehrende Programm nicht setuid ist?

pug: Warum schreibst Du eigentlich immer /root? Fuer mich ist root der Benutzer und /root das Verzeichnis...\n\n

<!--EDIT|betterworld|1141851486-->

oder man erlaubt dem Skript ein anderes aufzurufen, das via sudo gestartet wird. In /etc/sudoers ist dann der www-run als ausführungsberechtigt für dieses Skript ohne PW einzugeben.