<#secure method=pgpmime mode=sign>
On 13 mai 2003, Nicolas Évrard told this:
[...]
>
> > ARGH ! Si tu donnes les droits sudo pour utiliser tail en
> > tant que root, toto le hackeur va faire sudo tail -n 1000
> > /etc/shadow Il pourra aussi visualiser tous les autres fichiers de
> >
> En revanche, le problème de droit reste "accessoire". Mon problème réel
> reste toujours d'afficher les ajouts au fichier sur la console en temps
> réel sans faire tourner un processus du style tail sur cette même console
> (du style des logs envoyé en console grace à la commande LOG de
> iptab
Ainsi parlait DEFFONTAINES Vincent :
> >
> > Mais on peut bien configurer son fichier sudoers pour n'autoriser tail que
> sur certains
> > répertoire fichier, par exemple :
> >
> > Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
> > totoALL = PASSWD : TAIL_LOG
> >
> > Et ainsi toto ne peut plu
>
> Exemple :
> sudo /usr/bin/tail /var/log/../../etc/shadow
>
> A tester, mais je suis prêt à parier que ça marche !
Désolé de me répondre à moi-même.
Je viens de tester, et cela fonctionne à merveille...
>
> Mais on peut bien configurer son fichier sudoers pour n'autoriser tail que
sur certains
> répertoire fichier, par exemple :
>
> Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
> totoALL = PASSWD : TAIL_LOG
>
> Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
/var/log.
Exe
Bonjour,
Le ven 09/05/2003 à 20:22, Loick.B a écrit :
> Je souhaiterai loguer en permanence sur la console le contenu de
> /var/log/apache/access.log
> Y-a t'il une combine qui m'évite de laisser tourner un processus du style
> "tail -f /var/log/apache/access.log" (surtout en root) ?...
Il y a m
> > Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
> > totoALL = PASSWD : TAIL_LOG
> >
> > Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
> ^
> que ???
>
De fait !
--
Nicolas
On Tue, May 13, 2003 at 10:42:36AM +0200, Nicolas Évrard wrote:
> * DEFFONTAINES Vincent [09:40 13/05/03 CEST]:
> >>NON ! Il existe un petit programme très sympa dénommé 'sudo' dans
> >>lequel tu permets à quelques utilisateurs choisis d'effectuer des
> >>actions normalement réservé à des utilisa
> Mais on peut bien configurer son fichier sudoers pour n'autoriser tail
> que sur certains répertoire fichier, par exemple :
>
> Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
> totoALL = PASSWD : TAIL_LOG
>
> Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
> /var/log.
Questi
* DEFFONTAINES Vincent [09:40 13/05/03 CEST]:
NON ! Il existe un petit programme très sympa dénommé 'sudo' dans
lequel tu permets à quelques utilisateurs choisis d'effectuer des
actions normalement réservé à des utilisateurs à pouvoir. Ainsi pour
peu que l'utilisateur en question fasse partie de
> ARGH !
> Si tu donnes les droits sudo pour utiliser tail en tant que root, toto le
> hackeur va faire
> sudo tail -n 1000 /etc/shadow
> Il pourra aussi visualiser tous les autres fichiers de conf normalement
> secrets (je pense aux confs SQL, LDAP, ppp, et il y en a surement plein
> d'aut
>NON ! Il existe un petit programme très sympa dénommé 'sudo' dans lequel tu
permets à quelques utilisateurs choisis
> d'effectuer des actions normalement réservé à des utilisateurs à pouvoir.
Ainsi pour peu que l'utilisateur en question
> fasse partie des sudoers (les utilisateurs à qui ont a dé
On 10 mai 2003, Loick B. outgrape:
> Le Samedi 10 Mai 2003 10:15, Matthieu Moy a écrit :
> > "Loick.B" <[EMAIL PROTECTED]> writes:
> > > Y-a t'il une combine qui m'évite de laisser tourner un processus
> > > du style "tail -f /var/log/apache/access.log" (surtout en root)
> > > ?...
> >
> > Y
Le Samedi 10 Mai 2003 10:15, Matthieu Moy a écrit :
> "Loick.B" <[EMAIL PROTECTED]> writes:
> > Y-a t'il une combine qui m'évite de laisser tourner un processus du style
> > "tail -f /var/log/apache/access.log" (surtout en root) ?...
>
> Y'a-t-il vraiment besoin d'être root ? Un utilisateur du
"Loick.B" <[EMAIL PROTECTED]> writes:
> Y-a t'il une combine qui m'évite de laisser tourner un processus du style
> "tail -f /var/log/apache/access.log" (surtout en root) ?...
Y'a-t-il vraiment besoin d'être root ? Un utilisateur du bon groupe
devrait suffire.
--
Matthieu
Hello.
Je souhaiterai loguer en permanence sur la console le contenu de
/var/log/apache/access.log
Y-a t'il une combine qui m'évite de laisser tourner un processus du style
"tail -f /var/log/apache/access.log" (surtout en root) ?...
Merci d'avance et bonne soirée à tous,
Erick
16 matches
Mail list logo
