Latest posts for the topic "Thắc mắc về SGID và sudo"

Thắc mắc về SGID và sudo

quanta — GMT

1. Tôi làm một phép thử với SGID như sau: + Login với user quanta, tôi tạo một file yourscript.sh có nội dung: Code:

#!/bin/bash
echo "test" >> yourlog.log

File yourscript.sh này có permission là:

-rwxrwxr-x 1 quanta quanta

+ chmod yourscript.sh và chạy nó lần đầu tiên để tạo file yourlog.log: Code:

$ sudo chmod +x yourscript.sh
$ sh yourscript.sh

Bây giờ tôi đã có file yourlog.log, permission của nó là:

-rw-rw-r-- 1 quanta quanta

Bạn để ý là những user khác không cùng nhóm với quanta sẽ không có quyền write trên file này + Tiếp theo, tôi thử SGID cho yourscript.sh: Code:

$ sudo chmod g+s yourscript.sh

Rồi login sang một user khác không cùng nhóm với quanta và chạy xem sao. Về lý thuyết thì tôi đã echo được "test" thêm vào yourlog.log nhưng test thử thì bị Permission denied. Vấn đề này có phải do bash shell drop permission không hay còn liên quan gì đến EUID, mong mọi người giải thích giúp 2. Mọi người đều biết: sudo cho phép một người dùng bình thường có thể thực thi một lệnh với đặc quyền superuser hoặc root. Trong /etc/sudoers tôi thêm:

quanta ALL=(ALL) ALL

-rw-rw-r-- 1 root root

Sau đó login sang user quanta (không thuộc root group), và thử: Code:

$ sudo echo "sudo troubleshoot" >> test.log

thì gặp:

bash: test.log: Permission denied

Nhờ mọi người giải thích và thảo luận thêm về trường hợp này

Re: Thắc mắc về SGID và sudo

conmale — GMT

1) Vấn đề ở chỗ login sang một user khác và user này thuộc nhóm nào? Nhóm ấy có quyền gì đến log file kia? 2) Không hiểu ý em.

Re: Thắc mắc về SGID và sudo

quanta — GMT

conmale wrote:

1) Vấn đề ở chỗ login sang một user khác và user này thuộc nhóm nào?

OK, em đã sửa lại thành "và login sang một user khác không cùng nhóm với quanta"

conmale wrote:

Nhóm ấy có quyền gì đến log file kia?

Cái này đã trả lời rồi anh:

quanta wrote:

... Bây giờ tôi đã có file yourlog.log, permission của nó là:
-rw-rw-r-- 1 quanta quanta
Bạn để ý là những user khác không cùng nhóm với quanta sẽ không có quyền write trên file này

2) Không hiểu ý em. Ý em hỏi: 1. sudo có change EUID của người đang chạy nó không? 2. Tại sao trong trường hợp này: đã dùng sudo rồi mà vẫn không đủ permission để wwwect một đoạn text vào test.log?

Re: Thắc mắc về SGID và sudo

pearltran — GMT

1) SGID và SUID chỉ được ứng hiệu khi user có euid=0 còn không thì kể file đó có bật SGID thì vẫn bị bashdrop permission.Trong trường hợp trên thì user có euid #0 nên SGID không có hiệu lực

Re: Thắc mắc về SGID và sudo

lihavim — GMT

2. Vấn đề này là do chỉ mỗi thằng echo có quyền do sudo đưa cho, còn việc wwwect thì không, do đó dẫn đến việc không có quyền. Để giải quyết việc này, có một số cách như sau: 1/Như http://notfaq.wordpress.com/2007/09/26/unixlinux-wwwect-output-as-sudo/. Dùng: Code:

$sudo bash -c “echo "sudo troubleshoot" >> test.log"

2/Dùng tee. Code:

$echo "sudo troubleshoot" | sudo tee -a  test.log

3/Cách luộm thuộm :D. Thảy tất cả vô 1 cái bash script, cho quyền chạy rồi xài sudo thoải mái :*- . Góp ý chút về cách dùng sudo trong phần 1: Vì yourscript.sh đã có quyền là

-rwxrwxr-x 1 quanta quanta

Nên user quanta dùng sudo khi chmod là không cần thiết.