Donner acces a un repertoire sans changer les permissions du repertoir

marceaub · Le 13/03/2012, à 18:09

Bonjour a tous,
Je suis coincé sur un probleme et impossible de trouver une reponse sur internet .
J ai besoins de donner acces a un utilisateur du meme groupe que moi l'acces a un dossier, mais cela, sans changer les permissions du folder qui sont celle ci :
drwx------ 2 boulengm etud 4096 Mar 13 11:46 secret
Existe il un outil pour faire cela ? Une liste de commande a donner a mon autre utilisateur pour qu il est acces a ce dossier ( qui est dans / )

PS: CECI EST DANS LE BUT D'UN EXERCICE et ne doit pas etre utiliser en tant normal

Merci d'avance a tous

Dernière modification par marceaub (Le 14/03/2012, à 15:59)

loubrix · Le 13/03/2012, à 18:19

si tu n'as pas trouvé de réponse sur internet, c'est peut-être qu'il n'y en a pas, par rapport aux conditions que tu donnes: ça me semble difficile d'outrepasser les permissions...
donc, la solution la plus viable reste de donner les droits d'accès adéquates aux membres du groupe, mais tu sembles ne pas vouloir de cette solution...

NB: je m'interroge aussi: que fait ce dossier dans / ? j'éviterais ce genre de chose si j'étais toi.

pingouinux · Le 13/03/2012, à 18:31

Salut,
Je n'utilise pas, mais les Access Control Lists (ACL) sont peut-être une solution.

man -k acl

Je n'en sais pas plus.

marceaub · Le 13/03/2012, à 18:32

Ben en fait c'est un exercice a faire pour mon cour d'administration des ordinateurs, et apres avoir cherche partout sur le net et dans mon cour, je m'en remets a vous
C'est un exercice pour voir les danger du setuid et setgid ! a ne pas faire en tans normal !
Voila la consigne exacte en fait :
Dans votre compte, mettez des fichiers quelconques dans le répertoire secret. Du compte de
votre co-équipier, essayez de voir la liste des fichiers dans secret avec la commande ls. Pas
surprenant que vous ne puissiez pas les voir (votre répertoire secret est protégé)! Sans changer
les permissions du répertoire secret, donnez une façon (suite de commandes) pour créer un outil
qui permettra à votre co-équipier de voir les fichiers dans secret. (Les répertoires des usagers des
ordis du departement sont "protégés" pour empêcher certaines permissions des fichiers dont vous avez
besoin. Vous ne pouvez pas faire ce numéro dans votre répertoire personnel. Par contre, le
répertoire /tmp/ n'a pas cette protection. Vous pouvez donc faire le numéro 5 au complet dans
/tmp/. Ne pas oublier à la fin d'effacer ce fichier pour que d'autres ne trouvent votre fichier.)
Indice : copiez la commande ls

Donc je pense qu'il existe une solution, apres il faut trouver laquelle

Dernière modification par marceaub (Le 14/03/2012, à 16:00)

pingouinux · Le 13/03/2012, à 19:17

Essaye de faire un script mon_ls dans /tmp :

$ cat /tmp/mon_ls
#! /bin/bash
ls "$@"

Tu lui changes ses permissions :

chmod 4770 /tmp/mon_ls
chgrp etud /tmp/mon_ls

À partir de l'autre compte :

/tmp/mon_ls chemin_complet_du_repertoire_secret

À tester, je ne l'ai pas fait.

Ajouté :
Je viens de tester, et ça n'a pas l'air de fonctionner...

D'après ce Tutoriel (setuid on shell scripts), l'utilisation du setuid est désactivée pour les scripts shell sur de nombreuses plates-formes Unix (ce n'est peut-être pas le cas chez toi). Il faudrait passer dans ce cas par un programme C.

Dernière modification par pingouinux (Le 13/03/2012, à 21:23)

loubrix · Le 13/03/2012, à 21:49

Indice : copiez la commande ls

il m'intrigue cet indice; si on fait une copie de l'executable "ls" dans /tmp (puisque tous les utilisateurs ont le droit d'écrire dans /tmp), que je lui donne le droit d'éxécution par le propriétaire de /tmp/ls, est-ce que ça marcherait ?
en gros:

cp /bin/ls /tmp
chmod u+s /tmp/ls
chmod g+s /tmp/ls

vu que la copie de ls sera éxécuté avec les droits de son propriétaire (on va dire user1), user2 pourra le lancer pour explorer "secret".
par contre, je n'ai qu'un user alors je peux pas tester...

pingouinux · Le 13/03/2012, à 22:06

@ loubrix :
Tu as raison, ça marche. J'ai testé avec un répertoire secret appartenant à root, permissions 700.
Le ls copié dans le /tmp a pour permissions 4770, et appartient à root:mon_groupe.
setgid n'est pas nécessaire.

$ /tmp/ls secret
a  b

loubrix · Le 13/03/2012, à 22:58

donc si ça marche avec Root, ça doit aussi marcher avec 2 users sans privilège.

par contre, tu vérifieras si /tmp (et donc tes modifs) est effacé au reboot...

PS: pour le setGID, je m'en doutais un peu, vu que là on ne fait pas intervenir la notion de groupe (et en plus les deux users de marceaub font parti du même groupe), mais j'ai préféré faire trop que pas assez...

pingouinux · Le 13/03/2012, à 23:01

loubrix #8 a écrit :

par contre, tu vérifieras si /tmp (et donc tes modifs) est effacé au reboot...

Le /tmp est remis à neuf à chaque démarrage.

loubrix · Le 14/03/2012, à 12:08

par contre, Marceaub, ce serait bien que tu édites ton premier post, et que tu y mettes (en rouge) que c'est un exercice destiné à démontrer les dangers de setUID et setGID, au sein d'un cours sur la sécurité informatique, et que ceci n'est à SURTOUT PAS FAIRE en temps normal !
ceci pour éviter que quelqu'un qui tombe sur ce post utilise cette méthode pour faciliter l'accès à certaines parties de son système...

marceaub · Le 14/03/2012, à 15:58

Wow. Quelle bonne idée de copier /bin/ls dans /temp Merci a vous deux. Je n'y aurais jamais pensé par moi-même.
Je vais donc voir tout cela, et verifier avec mon partenaire que tout fonctionne bien sur les ordinateurs. Merci beaucoup

PS: oui je vais modifier mon post , Loubrix tu as raison ^^

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/03/2012, à 18:09

Donner acces a un repertoire sans changer les permissions du repertoir

#2 Le 13/03/2012, à 18:19

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#3 Le 13/03/2012, à 18:31

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#4 Le 13/03/2012, à 18:32

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#5 Le 13/03/2012, à 19:17

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#6 Le 13/03/2012, à 21:49

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#7 Le 13/03/2012, à 22:06

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#8 Le 13/03/2012, à 22:58

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#9 Le 13/03/2012, à 23:01

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#10 Le 14/03/2012, à 12:08

Re : Donner acces a un repertoire sans changer les permissions du repertoir

#11 Le 14/03/2012, à 15:58

Re : Donner acces a un repertoire sans changer les permissions du repertoir

Pied de page des forums